这个题猜还是2.23 (都不打算作了,这上边的题都没有远程环境,而且这些好像作过了)
这是个懵字游戏数据结构是这样的:
- chunk0 写输入的名字最大0xf8(可以小)
- 程序记录:4字节记录,4字节名字长度,8字节名字chunk0的指针
- 和名字一样长的随机数
先输入名字,然后行成随机数,然后等输入字符,如果有相同就计分,一共26个全输上怎么也能相同了,当超过最高记录就可修改名字(这里有溢出)
puts("High score! change name?");
__isoc99_scanf(" %c", &v3);
if ( v3 == 121 )
{
s = malloc(0xF8uLL);
memset(s, 0, 0xF8uLL);
v8 = read(0, s, 0xF8uLL);
*(_DWORD *)(a1 + 4) = v8;
v14 = strchr((const char *)s, 10);
if ( v14 )
*v14 = 0;
memcpy(*(void **)(a1 + 8), s, v8); //名字长度小于F8时,可输入F8溢出到记录
free(s);
这个溢出控制到指针就好办了
先溢出将指针写为got表的一个地址 ,后边的输出会输出值,这样就得到libc地址。
问题是写哪个,根据后边的函数调用可以用snprintf和strchr,看了下原来的用的是libc_start_main
strchr就在这里用一次,先写到这泄露libc再改为system,下次输入的时候输入/bin/sh
写libc_start_main的话这后边是gmon_start和memcpy 在这里写入/bin/sh\0,0,system实际上用system覆盖到memcpy在执行memcpy里参数正好是/bin/sh(这个比较巧)
如果用snprintf也可以恢复整个got表然后把/bin/sh写到602100
printf的话,没试写one_gadget也许也行