BUUctf pwn1_sctf_2016
file,发现文件是32位elf
checksec,发现文件开启了NX保护,NX指的是No Excute(禁止运行)
IDA查看函数,发现main()调用了vuln(),而且存在一个get_flag函数,地址为0x08048F0D。可以看到vuln函数中,fgets会从edata文件读32字节到s数组中,貌似没有什么问题。
由于后面的replace函数看不大懂,所以只能尝试nc靶机,执行该文件来测试一下输入输出。当输入19个I到edata中时,会转为19个you并写入s数组打印出来;而输入20个I时则会溢出,这表明数组s最多包含19个you和一个\n。
双击s去看s在栈中的位置,看到s的大小为0x3c=60个字节,果然放不下'you'*20+'\n'
下面的r表示返回地址,占4字节(+0x8~+0x4)
现在我们来构造payload。由于是将edata中的I转为you再写入s,所以向edata中写20个I,此时s占了60字节;然后要覆盖4字节的ebp,使用一个I和一个其他字符(不会转为you);最后用地址0x08048F0D覆盖eip即可
from pwn import *
p = remote("node4.buuoj.cn",29292)
payload = b'I'*21 + b'0' + p32(0x08048F0D)
p.sendline(payload)
p.interactive()