#include <stdio.h>
#include <stdlib.h>

void login(){
    int passcode1;
    int passcode2;

    printf("enter passcode1 : ");
    scanf("%d", passcode1);
    fflush(stdin);

    // ha! mommy told me that 32bit is vulnerable to bruteforcing :)
    printf("enter passcode2 : ");
    scanf("%d", passcode2);

    printf("checking...\n");
    if(passcode1==338150 && passcode2==13371337){
                printf("Login OK!\n");
                system("/bin/cat flag");
        }
        else{
                printf("Login Failed!\n");
        exit(0);
        }
}

void welcome(){
    char name[100];
    printf("enter you name : ");
    scanf("%100s", name);
    printf("Welcome %s!\n", name);
}

int main(){
    printf("Toddler's Secure Login System 1.0 beta.\n");

    welcome();
    login();

    // something after login...
    printf("Now I can safely trust you that you have credential :)\n");
        return 0;   
}

之前一直不能下載文件到本地，今天用了FlashFXP無意間可以下載到本地了 主要@前面的是用戶名，之前一直不知道

image.png

從源代碼分析看出來，在scanf的時候passcode1和passcode2沒有加地址符號，所以會發現段錯誤，并且沒有輸入passcode2的機會，這是因為如果沒有用取地址符，程序會使用棧上的數據作為指針存放輸入的數據。
所以會發生錯誤。只能用gdb調試程序

image.png

首先我們進入welcome函數

image.png

看到ebp為0xffffcf88

然后調試到準備輸入name的地方(gdb中ni是不進入調用函數中 而s是會進入調用函數中)，可以看到name的基址為ebp-0x70 ,接著我們同樣進入login函數

image.png

ebp竟然還是0xffffcf88

同樣調試到輸入passcode1的地方

image.png

可以發現passcode1的基址是ebp-0x10

那么通過計算我們可以知道name和passcode1相差(0x70-0x10)=0x60即96個字節，所以我們通過name的最后4個字節指定passcode1的指針位置，然后結合scanf輸入passcode1內容從而達到對指定地址的任意寫

所以我們可以把exit在plt中的地址改成system讀取flag的地址

image.png

通過plt表可知exit的地址為0x0804A018

image.png

而system讀取flag函數的地址為0x080485E3 即把0x0804A018的改為0x080485E3，因為scanf的時候用的%d所以要把system的地址轉換成十進制 system: 0x080485E3 == 134514147（十進制） ， 代碼如下：

python -c "print ('a'*96+'\x18\xA0\x04\x08'+'\n'+'134514147\n')" | ./passcode

image.png