BUU-hgame2018_flag_server-WP

博主： chuj
发布时间：2020 年 11 月 19 日
912 次浏览
暂无评论
326字数
分类： CTF-WP

Loading...

<p>其实这道题之前还做了一道srop，但是其实我还没有完全理解，所以那个的wp就得先搁一下，先写这个的。</p>

<p>这道题很简单</p>

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/QQ截图20201119121552.png" alt="" class="wp-image-538"style=""></figure></div>

<p>这个if是一定会执行的，我们只要让v10=1就可以拿flag了。</p>

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/QQ截图20201119121714.png" alt="" class="wp-image-539"style=""></figure></div>

<p>这里的read_n函数做的基本上就是读v5个字节到s1中，而</p>

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/QQ截图20201119121800.png" alt="" class="wp-image-540"style=""></figure></div>

<p>这里我们可以看出s1和v10都在栈上，那么我们只要溢出s1覆盖v10为1就可以了。</p>

<p>但是v5有限制，<img class="wp-image-541" style="width: 150px;" src="https://www.cjovi.icu/usr/uploads/2020/11/QQ截图20201119121905.png" alt=""style="">这里限制了v5要小于64，且不为零，而覆盖需要64+4个字节。这时似乎无法溢出，但是我们看一下read_n的定义</p>

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/QQ截图20201119122016.png" alt="" class="wp-image-542"style=""></figure></div>

<p>for的判断条件为i!=a2，那么我们把一个负数传进去，就可以读大量的字节了。</p>

<p>exp</p>

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/QQ截图20201119122159.png" alt="" class="wp-image-543"style=""></figure></div>

<p>比较简单的一道题。</p>

最后修改：2020 年 12 月 30 日

© 允许规范转载

如果觉得我的文章对你有用,那听听上面我喜欢的歌吧

发表评论取消回复

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

gxh
大黑客还有女朋友羡慕死了(☆ω☆)
某人
这...我们公司今年在梦想小镇办的那场？
zzz
该评论仅登录用户及评论双方可见
wenruo
有计划真号
rantrism
您好～我是腾讯云开发者社区运营，关注了您分享的技术文章，觉得内...

BUU-zctf2016_note2-WP
评论数： 0
BUU-qctf_2018_stack2-WP
评论数： 0
XCTF-实时数据监测-WP
评论数： 0
CVE-2021-3493
评论数： 0
XCTF-warmup-WP
评论数： 0

BUU-hgame2018_flag_server-WP

chuj • 2020 年 11 月 19 日

Loading...

<p>其实这道题之前还做了一道srop，但是其实我还没有完全理解，所以那个的wp就得先搁一下，先写这个的。</p>

<p>这道题很简单</p>

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/QQ截图20201119121552.png" alt="" class="wp-image-538"style=""></figure></div>

<p>这个if是一定会执行的，我们只要让v10=1就可以拿flag了。</p>

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/QQ截图20201119121714.png" alt="" class="wp-image-539"style=""></figure></div>

<p>这里的read_n函数做的基本上就是读v5个字节到s1中，而</p>

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/QQ截图20201119121800.png" alt="" class="wp-image-540"style=""></figure></div>

<p>这里我们可以看出s1和v10都在栈上，那么我们只要溢出s1覆盖v10为1就可以了。</p>

<p>但是v5有限制，<img class="wp-image-541" style="width: 150px;" src="https://www.cjovi.icu/usr/uploads/2020/11/QQ截图20201119121905.png" alt=""style="">这里限制了v5要小于64，且不为零，而覆盖需要64+4个字节。这时似乎无法溢出，但是我们看一下read_n的定义</p>

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/QQ截图20201119122016.png" alt="" class="wp-image-542"style=""></figure></div>

<p>for的判断条件为i!=a2，那么我们把一个负数传进去，就可以读大量的字节了。</p>

<p>exp</p>

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/QQ截图20201119122159.png" alt="" class="wp-image-543"style=""></figure></div>

<p>比较简单的一道题。</p>