ciscn_2019_en_2

ciscn_2019_en_2

使用checksec查看：

只开启了栈不可执行。

放进IDA中分析：

• begin();：输出一段文字，可以不用看。
• __isoc99_scanf("%d", &v4);：获取用户输入的选项，2和3没用，直接看1选项。
• encrypt();：1选项主要函数，跟进查看。

encrypt();：

• gets(s);：存在栈溢出的可能性。
• if ( v0 >= strlen(s) )：对用户输入的数据判断了长度。
• if ( s[x] <= 96 || s[x] > 122 )、if ( s[x] <= 64 || s[x] > 90 )、if ( s[x] > 47 && s[x] <= 57 )：对用户输入的数据分别做对应的加密。

题目思路

• gets(s);存在栈溢出。
• 用\x00绕过strlen(s)，形成栈溢出。
• 泄露puts()地址，打常规ret2libc。

步骤解析

通过第一次的栈溢出泄露出puts()函数的地址

接着就能通过libc计算出system()和/bin/bash的地址

完整exp

from pwn import *

#start
r = process("../bu