本關資訊

伏地魔吧自己分裂的靈魂藏在了7哥魂器中…這個描述666。本關要求我們找到所有的魂器然後ROP似乎就可以拿flag了。本關沒有給原始碼，上IDA分析吧。本地執行前安裝32位libseccomp庫，apt-get install libseccomp-dev:i386。

init初始化abcdefg7個int值，儲存在bss段，並計算sum。abcdefg的值生成時使用隨機數做為種子再呼叫rand函式生成，因此隨機不可預測。

ropme函式輸入abcdefg的值，就可以呼叫相應的列印函式。gets函式輸入sum的值就可以進入輸出flag的流程。由於gets存在棧溢位，因此可以劫持返回地址。

利用思路很簡單，劫持返回地址跳轉輸出abcdefg的值，就可以計算sum，之後把sum轉化成字串後輸入給atoi即可。

注意有幾個坑點：

• gets函式遇到a newline character比如\x0a就會截斷(遇到\x00 \t不會截斷，gets可以讀入)，ropme函式起始地址是0x080A0009，不能直接跳轉到ropme函式中執行程式碼。可以直接跳到ABCDEFG函式裡面獲取abcdefg的值。
• atoi函式將int轉化為字串，如果數字超過int範圍轉化失敗返回-1。

此外，由於0xa不能輸入，find查看了stack中是有0x080a的值的，如果棧溢位溢位低位幾個位元組為列印flag的低位，再rop到該處應該也可以直接讀flag。

exp