Henlenl的博客

检查文件信息 amd64-elf文件 开启了Canary保护 开启了NX保护 ida静态分析 进入到sub_4008EB函数 格式化字符串漏洞 另外进入到sub_400960()函数有栈溢出漏洞 但是有一点开启了Canary 那么我们可以通过 格式化字符串任意读 泄露Canary地址 然后利用这个地址来进行溢出漏洞的利用 栈分布如图 而我们知道 v2就是用来储存canary的值的变量 而buf 大小位0x90 v2的大小位 0x8 覆盖return addr，需要0x90-0x8=0x88大小去

文章目录查看文件信息IDA分析 查看文件信息 32位 且开启了NX保护 一个创建堆的程序 IDA分析 将文件丢入IDA32位 进行反汇编分析 main函数就是一些选择 咱们进入相关的函数分析 我们先看add_note()函数 仔细研究后可以发现,咱们可以控制第二个chunk ...

文章目录查看文件信息IDA 分析exp 查看文件信息 checksec 一下 开了个NX保护 IDA 分析 我们扔进IDA64里面 查看反汇编代码 以及 伪代码,给我的感觉就是v4 能溢出 然后连到/bin/sh 利用万能的gadget，pop rdi ret exp from pwn import * elf = ELF('./babyrop') #r = process('babyrop') r = remote('node3.buuoj.cn',28916) system = elf.s

文章目录查看文件信息IDA静态分析exp 查看文件信息 开了个NX保护 IDA静态分析 开始看上去 其实就是利用gets()来溢出的 我们可以 shift+f12 查看字符串 可以看到 flag.txt 这个字符串 我们进去看一看…开始的思路其实是利用gets函数溢出来覆盖返回地址去读出flag，然后利用get_secret函数的输入点造成溢出覆盖返回地址到write函数的地址，打印出unk_80CF91B里面储存flag的内容,但是要知道的是,fgets函数其实是有保护机制的,所以我们利用这个是读

文章目录查看文件信息IDA 分析exp 查看文件信息 amd 64位系统 NX保护 IDA 分析 nc 程序连接一下 没什么东西 给了几个选择的按钮 IDA 64分析一波 发现其实程序就只能选择1 而且关键函数是encrypt 我们进去看一下 所以 只要让 var[13] = 17就行了 exp 但是 这里要说明一下 32位程序是能直接去内存中寻址执行的 64位就是要依靠寄存器来寻址 然后找到地址返回给程序去执行的 ...

文章目录查看文件信息IDA 分析exp 查看文件信息 checksec 一下,保护还开的挺满 canary(栈保护)，nx(堆栈不可执行)，PIE(地址随机化) IDA 分析 其实我们应该nc 连一下的查看远程程序运行情况 丢入 32位IDA分析一下 很显然 程序的意思就是让 var[13] == 17就能拿到shell了 exp from pwn import * r = remote('node3.buuoj.cn',27168) #r = process('./ciscn_2019_n_8')

文章目录查看文件信息IDA 分析exp 查看文件信息 64位elf文件 IDA 分析 我们来到main()函数 再进入vulnerable_function()函数 典型的read()栈溢出漏洞,buf有0x80 [rbp + 80h] 所以 如果要覆盖的话 需要0x80 + rbp本身的8字节 同时我们发现 callsystem函数 地址为 0x400596，所以payload = ‘a’ * (0x80 + 8) + p64(0x400596) exp from pwn import *