flowershop
如图所示,v8是钱的数量,strncpy从src复制三个字符给dest的数组里,最后一个元素是0,相当于字符串截断,strcmp是比较c和dest中的内容,如果相等就不会exit(0);双击c进去看,c是字符串“pwn”,所以我们在read溢出的时候,把src覆盖成”pwn/x00”就可以绕过检测,后面的v8就可以随便覆盖八字节,充值任意的钱数。
接下里我们再进行购物,可见shop传入的v5有三个元素,我们再进shop函数看看:
通过分析就可以看到,这三个元素对应了每个商品购买的数量,每次买一个商品,对应的元素就会加1,每件商品最多买8个
此时末位有个read,很可能就是我们要溢出的漏洞,但是参数v4可控未知,所以往前可看check函数做了什么,显然通过分析这就是满足买了两件a商品和1件b商品的时候就可以给a2指针赋值为70,指向的就是v4,这样shop函数的buf只有10字节,但是read可以输入70字节,就达到了溢出攻击条件
所以最后我们通过购买c商品,达到给magic赋值”/bin/sh”的目的,所有条件已达成,
值得注意的是最后赋值钱的时候八字节的最高位不能是1,因为这是符号位,如果是1就是负数了,最后read也不一定要追加到70个字节,能溢出执行system即可了。
from pwn import *
#p=remote("8.147.134.241",24158)
p=process("./pwn")
system=0x400D7A
magic=0x601840
pop_rdi=0x400f13
ret=0x4006f6
payload=b'a'*52+b'pwn\x00'+b'\xff\xff\xff\x7f\xff'
p.send(payload)
p.recvuntil("你的选项:"
最低0.47元/天 解锁文章
扫一扫
6131
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
