该题目是plaidctf-2013的一道题，ropasaurusrex

checksec看一下该程序开了哪些保护：

程序为32位小端，保护只开启了NX保护，意味着堆栈不可执行。

运行该程序看看：

待你输入内容后，会给一些的反馈

*第三步：

gdb动态调试一下看看：

可以看到，崩溃在140处，因此可以知道返回地址在144字节处。

同样，将程序丢到IDA中看一下：

发现程序逻辑相对还是比较简单的，在main中，发现sub_80483F4函数中存在可利用的溢出漏洞，另外发现该程序中并没有可利用的system和'/bin/sh'，但却存在read和write函数。

溢出思路：

由于程序没有提供libc.so文件，故需要将返回地址覆盖为write@plt,利用write@plt将read@got内容打印出来从而获得libc、system等函数的地址

计算system和'/bin/sh'地址

然后通过gadget指令重新跳转至sub_80483F4再次溢出，将返回地址覆盖
为system，将'/bin/sh'地址部署在相应的参数位置即可

知识点：
GOT（Global Offset Table，全局偏移表）是Linux ELF文件中用于定位全局变量和函数的一个表。
PLT（Procedure Linkage Table，过程链接表）是Linux ELF文件中用于延迟绑定的表，即函数第一次被调用的时候才进行绑定。
延迟绑定，就是当函数第一次被调用的时候才进行绑定（包括符号查找、重定位等），如果函数从来没有用到过就不进行绑定。基于延迟绑定可以大大加快程序的启动速度，特别有利于一些引用了大量函数的程序。

栈布局：

我们可以利用DynELF来轻松获得程序某函数的实际运行地址。

**知识点2：DynELF，是pwntools中有一个很方便的类，可以通过使用该类利用泄露函数，从而获取程序的system、read等函数地址。

最终的EXP代码：

参考：

https://bbs.ichunqiu.com/thread-42933-1-1.html?from=aqzx1
https://www.jianshu.com/p/590bc1d6c292
http://www.baymrx.me/2019/08/19/PWN%E5%88%B7%E9%A2%98%E8%AE%B0%E5%BD%95%E2%80%94%E2%80%942013-PlaidCTF-ropasaurusrex/
https://www.jianshu.com/p/6626a866ad66

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)