pwn菜鸡争取一天写一道吧,记录一下做题过程,方便复现
先checksec
ida f5
大致的流程就是先生成一个随机数,然后将这个随机数放入buf,再把buf传到71F
在71F里,buf变成a1,把a1放入s,然后往71F的buf里输入数据,这一步要注意,我们要做的是通过传入数据,把v5覆盖掉,因为返回值是v5,而v5和buf的关系在stack里是这样的
所以我们传入7个以上的字节(因为是32位,(4位2进制 || 一位16进制)是一个字节)就可以了,同时要注意为了绕开strlen,我们在前面要加’\x00’,所以payload为’\x00’+’\xff’*7
接着v5返回到主函数,变成v2,传到7D0里,7D0里变成a1, 因为我们传入的a1为\xff(255),所以执行else, 这时我们开始ret2libc
p = flat([‘a’*0xe7, ‘b’*4, puts_plt, main_addr, read_got])
接着重新回到主函数,再来一次,步骤大致相同,就只是最后改为执行system
上完整exp:
recv代表接受4个字符,因为他是32位的,所以用u32