此题是比较简单的fmt类型的pwn题(此赛季唯一一个libc2.23的pwn题)。因为是32位的elf,所以一切要简单得多,只不过有两个小小的限制,一是输入存放在bss上,而且是开PIE的;二是每次输入要求不大于24字节。大概思路是:(都是fmt的利用)从栈上leak出libc地址和栈地址(栈上有ebp链,有了栈指针当然有栈地址),可通过ebp的栈指针构造指向其它栈地址的栈指针,从而实现栈的任意写,最终在栈上构造好system的rop实现get shell。
system
最终exp如下:
[注意]看雪招聘,专注安全领域的专业人才平台!
