simple_login

输入内容到ss解密后存到v5最大长度不能超过0xC即12个字节v5的内容复制到inputinput再复制到v4观察上面的几个局部变量发现只有auth函数中的v4距离ebp最近调试时先将payload base64加密先执行到auth函数再查看v4的地址调试可知局部变量v4和ebp的距离为8即payload只能覆盖到ebp那么看看是否可以进行ebp劫持input位于bss段且又memcpy让函数执行完memcpy查看input中的内容input中确实写入内容且从低地址写到高地址那么如果我覆盖ebp的值为input的地址那么main函数执行leave就会让esp指向0x0811EB40然后执行pop ebp并且esp4然后retret指令其实就相当于pop eip也就相当于将esp指向的地址赋值给eip寄存器那么只要在写入0x626262的位置写入需要执行的地址那么就可以调用我需要的函数了shiftf12找到需要的字符串先传入传入参数字符串然后再调用system编写wp