zoukankan      html  css  js  c++  java
  • 栈溢出2017doubly_dangerous

     IDA打开,发现gets漏洞函数。可以观察到,只要让v5等于11.28125即可获得flag。问题是这里并没有输入v5的语句。

    再看第3,4行,发现变量s和v5都是保存在栈中,并且s是用gets来赋值的。

    所以到这里思路就很清晰了,用gets漏洞覆盖掉原本是存放v5的栈帧,让v5等于11.28125,就可以拿到flag了.

    IDA中显示s存放在ebp-4c位置,v5存放在ebp-c的位置。它俩之间差40h,因此需要40h的填充数据。

     pwngdb进行调试,在执行过add指令后暂停,显然这里的gets是cdcall约定,处理栈交给调用函数,只有执行完这条语句后,gets函数才算是结束,当前栈才是main函数的栈。

    我这里输入的数据是0123456789012345678901234567890123456789012345678901234567890123AAAA,40h个数字加4个A。

     当前EBP是0x88

     在进行比较时,是用的ebp-0xc(即0x7c)的栈帧来比较的。

     观察栈帧,发现输入的40h+4的数据,确实成功填充掉了0x7c的这个位置。

    也就证明了,IDA中显示的正确,并且40h+4的填充数据是正确的。

    然后的问题就是,这个二进制数据是多少的时候,才能够让v5等于11.28125呢。

    在这里可以看到,汇编指令读取了内存中0x804876c处的数据。

     可以用  x/4xb 0x804876c来读取这个地方的数据。因为是小端序,所以正确的值应该为0x41348000。

    当然这个值也可以通过计算得出,也可以自己写个c语言程序(上图为VC中得出的结果),转汇编后得出。

    from pwn import *
    io=process('./doubly_dangerous')
    payload=b'A'*64+p32(0x41348000)
    print(io.recv())
    io.sendline(payload)
    print(io.recv())

  • 相关阅读:
    navicat连接mysql报错1251解决方案
    ubuntu 安装nodejs/npm
    sync-settings(vscode)
    ubuntu远程桌面连接windows系统
    three.js中点生成矩阵方法
    threeJs中旋转位移等操作坐标系
    ubuntu查看进程端口号及运行的程序
    Ubuntu终端远程连接linux服务器
    THREE.OrbitControls参数控制
    canvas设置长宽
  • 原文地址:https://www.cnblogs.com/sweetbaby/p/14084672.html
Copyright © 2011-2022 走看看