准备工作
32位 canry
看看ida
漏洞及利用思路
简单来说是从文件中读一个4字节密码存在0x804c044这个地址上,最后输入确认是否有密码,对了就getshell
虽然有cannary但是这题不涉及这个安全机制的bypass
很明显在输入名字的位置有一个格式化字符串漏洞,所以通过%offset$n的方式劫持地址并对密码进行修改
因为这题没什么其他的要求,所以密码就是4就可以了不需要做其他改动(因为32位下地址就是4字节,所以%n方法写入的地址就是4)
最后send一个‘4’就行
解题
数偏移
从aaaa开始为0,直到0x61616161会发现偏移了10位,aaaa相当于一个标识,其他的也可以,主要是要注意4字节对齐
我们此题要写入的地址就是这个栈顶偏移10位的位置。
至此就可以构建payload:
getshell
执行脚本
另,可能是buu的问题,可能会出现getshell之后终端卡住不让输指令的问题,退出重新执行一次脚本就行
另外一个思路是通过格式化字符串漏洞泄露地址中的密码%offset$s,类型与泄露canary,直接用原始密码通过验证,但是很明显%n更简略,毕竟就一个'4'