BUU pwn pwn1_sctf_2016 //nc测试

BUUctf pwn1_sctf_2016

file，发现文件是32位elf

checksec，发现文件开启了NX保护，NX指的是No Excute（禁止运行）

IDA查看函数，发现main()调用了vuln()，而且存在一个get_flag函数，地址为0x08048F0D。可以看到vuln函数中，fgets会从edata文件读32字节到s数组中，貌似没有什么问题。

由于后面的replace函数看不大懂，所以只能尝试nc靶机，执行该文件来测试一下输入输出。当输入19个I到edata中时，会转为19个you并写入s数组打印出来；而输入20个I时则会溢出，这表明数组s最多包含19个you和一个\n。

双击s去看s在栈中的位置，看到s的大小为0x3c=60个字节，果然放不下'you'*20+'\n'

下面的r表示返回地址，占4字节（+0x8~+0x4）

现在我们来构造payload。由于是将edata中的I转为you再写入s，所以向edata中写20个I，此时s占了60字节；然后要覆盖4字节的ebp，使用一个I和一个其他字符（不会转为you）；最后用地址0x08048F0D覆盖eip即可

from pwn import *
p = remote("node4.buuoj.cn",29292)
payload = b'I'*21 + b'0' + p32(0x08048F0D)
p.sendline(payload)
p.interactive()