攻防世界-pwn forgot(栈内变量覆盖)

0x01 文件检查

• 32位elf
• 无栈保护
• 无地址随机化
   

0x02 程序运行分析

 发现有两个输入的地方，并且第一个地方有回显。
 

0x03 IDA分析

 如图，阅读程序结构后，发现第二个输入点(41行)可以进行栈溢出，第88行是调用的栈里面的函数地址，所以，如果将栈里面的*(&v3 + --v14)这个地址的内容变成我们需要的函数地址，就可以了。


 搜索字符串，发现有关于flag的字符串，并跳转到引用该字符串的函数，发现函数直接可以获取flag，所以，这就是一个栈内部的变量覆盖。

 关注这个循环里面的内容，里面相当于正则表达式的判断，但是你仔细分析里switch中的函数时，可以发现没有判断大写字符的地方，我们可以注入大写字符，来达到不改变v14的值的效果。
 

0x04 思路分析

 可以确定的是栈上面的变量覆盖，但是覆盖地址的时候需要注意*(&v3 + --v14)这个式子，我们需要把函数地址放到这个地址上面(&v3是栈上面的地址，其计算是按照字节来计算而不是位，所以做的时候要注意计算的答案)。由于v14的初始值为1，并且里面正则判断的时候没有关于大写字符的判断，我们就可以直接写入大写字符覆盖v2，并将v3覆盖为我们需要的函数的地址，就可以拿到flag。
 

0x05 exp

from pwn import *
p = process('./forgot')
p.recv()
p.sendline('ShadowQ')
p.recv()
p.sendline('A'*32+p32(0x080486cc)))
p.interactive()

自己创建的网络安全公众号，欢迎各位朋友们关注！