flag 只对创建者 passcode_pwn 和 root 可读，而我们登录的用户是 passcode，无读权限。passcode 对有所有用户都开放读和执行权限，而且权限里面有 s，因此普通用户在执行这个文件时会被赋予 root 权限。

main 函数先后调用了 welcome() 和 login() 函数，其中在 welcome() 函数中输入用户名，在 login() 中输入两个密码

而且 login() 函数在调用 scanf() 时没有 &(取址) 符号，所以 scanf() 把输入的值保存在 passcode1 和 passcode2 的值所指向的地址中

下断点

查看各函数汇编
main()

welcome()

login()
338150 == 0x528e6
13371337 == 0xcc07c9

与源码对应看，welcome() 里 name 的首地址是 -0x70(%ebp) 即 %ebp - 0x70,login() 里 passcode1 的地址是 -0x10(%ebp)，即 %ebp - 0x10,passcode2 的地址是 -0xc(%ebp)，即 %ebp - 0xc
由于这 welcome() 和 login() 都是由 main 函数同步调用的而且它们的参数个数一样多（都是 0 个），所以在数值上两个函数的 %ebp 是相等的（参考栈帧空间）

简单的两参数函数的栈帧空间

通过计算可以求得 name 的首地址与 passcode1 的地址相差 0x70 - 0x10 == 0x60 == 96 个字节，name 的首地址与 passcode2 的地址相差 0x70 - 0xc == 0x64 == 100 个字节，name 的大小是 100 字节（c 语言中 char 为 1 字节），所以我们可以通过 welcome() 来控制 passcode1 的值，刚好不能控制 passcode2 的值

观察 login() 的源代码可以看到，scanf("%d", passcode1);后又执行了 printf(),所以考虑将 passcode1 的值覆盖为 printf 的地址，当对passcode1 进行赋值的时候，把调用 system 函数的地址输入进去，当执行 printf("enter passcode2 : "); 语句时就变成执行 system 函数。

system() 的地址由汇编代码可得，由于函数调用前还有给参数赋值等初始化操作，因此地址选 0x080485e3 即 call system 语句的前一条语句的地址。

printf() 的地址可以由 readelf 获得 readelf -r ./passcode
printf() 的地址为 0x0804a000

python -c "print 'A' * 96 + '\x00\xa0\x04\x08' + '134514147\n'" | ./passcode

Sorry mom.. I got confused about scanf usage :(为 flag
*注：这里 0x080485e3 要用十进制表示即 134514147,因为scanf("%d", passcode1);中要求格式为数字 %d

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！