XCTF-pwn level2 - Writeup
XCTF-pwn-level2 WP
终于能够写这个pwn题的wp咯~
很开心,说明我又有一些收获来解决了一些问题web
题目描述:菜鸡请教大神如何得到flag,大神告诉他‘使用面向返回的编程(ROP)就能够了’shell
先将elf文件下载丢到乌班图里查看一下文件类型,经过checksec查看一下保护状况最后在运行一下瞅瞅到底运行起来是杂肥似。
能够看到NX这项保护是开启的状态,这意味着:栈中数据没有执行权限,经常使用的call esp或者jmp esp的方法在这里就不能使用辽,可是能够利用rop这种方法绕过编程
而后丢到ida里面瞅瞅,来尝试寻找存在漏洞的溢出点:
在vulnerable_function()中阔以发现溢出点可能出如今read函数中
而后在shift + F12看一下字符串
看到了两个咱们想要看到的东东,一个是system还有一个就是/bin/sh 咯
因此咱们须要作的就是调用system("/bin/sh")辽
在计算一下偏移量:
看样子就是须要填满的的buf为0x88+0x4
构造一个system("/bin/sh")的伪栈帧
经过控制vulnerable_function()返回到该伪栈帧执行system("/bin/sh")来get shell
而后把system以及bin/sh构造进payload
payload = ‘a’ * (0x88 + 0x4) + p32(sys_addr) + p32(0) + p32(bin_addr)
其中p32(0)为system("/bin/sh")执行后的返回地址,整上个0就能行。
最后滴exp以及结果:
而后就成功获取到flag咯svg
固然在这个过程当中发现仍是会有一些东东没有掌握好还须要慢慢努力学习~~函数