zoukankan      html  css  js  c++  java
  • 栈溢出2017doubly_dangerous

     IDA打开,发现gets漏洞函数。可以观察到,只要让v5等于11.28125即可获得flag。问题是这里并没有输入v5的语句。

    再看第3,4行,发现变量s和v5都是保存在栈中,并且s是用gets来赋值的。

    所以到这里思路就很清晰了,用gets漏洞覆盖掉原本是存放v5的栈帧,让v5等于11.28125,就可以拿到flag了.

    IDA中显示s存放在ebp-4c位置,v5存放在ebp-c的位置。它俩之间差40h,因此需要40h的填充数据。

     pwngdb进行调试,在执行过add指令后暂停,显然这里的gets是cdcall约定,处理栈交给调用函数,只有执行完这条语句后,gets函数才算是结束,当前栈才是main函数的栈。

    我这里输入的数据是0123456789012345678901234567890123456789012345678901234567890123AAAA,40h个数字加4个A。

     当前EBP是0x88

     在进行比较时,是用的ebp-0xc(即0x7c)的栈帧来比较的。

     观察栈帧,发现输入的40h+4的数据,确实成功填充掉了0x7c的这个位置。

    也就证明了,IDA中显示的正确,并且40h+4的填充数据是正确的。

    然后的问题就是,这个二进制数据是多少的时候,才能够让v5等于11.28125呢。

    在这里可以看到,汇编指令读取了内存中0x804876c处的数据。

     可以用  x/4xb 0x804876c来读取这个地方的数据。因为是小端序,所以正确的值应该为0x41348000。

    当然这个值也可以通过计算得出,也可以自己写个c语言程序(上图为VC中得出的结果),转汇编后得出。

    from pwn import *
    io=process('./doubly_dangerous')
    payload=b'A'*64+p32(0x41348000)
    print(io.recv())
    io.sendline(payload)
    print(io.recv())

  • 相关阅读:
    一天搞懂深度学习--深度学习简介
    Ubuntu16.04下安装Hive
    Ubuntu16.04下安装Hadoop
    Hive入门学习--HIve简介
    循环神经网络(RNN)--学习笔记
    如何使用GitHub
    python pandas import 失败
    Azure ARM VM内部关机了,但门户却显示虚拟机还在处在“正在运行”的状态
    Exchange 2010 与 RMS(集成权限管理服务)集成
    统计 Exchange 2010 时间段收发邮件总量
  • 原文地址:https://www.cnblogs.com/sweetbaby/p/14084672.html
Copyright © 2011-2022 走看看