怪味巧克力的博客

0x01 检查文件，64位 检查开启的保护情况 开启了NX保护 0x02 IDA静态分析 在主函数这里并没有常见的gets栈溢出，尝试再这里面的子函数找找，发现了encrypt函数，进去查看 发现这个变量x的自增是由空间大小限制的，猜测这里会出现栈溢出漏洞，写出exp尝试溢出 0x03 exp： from pwn import * from LibcSearcher import * content = 0 context(os='linux', arch='amd64', log_level='

0x01 拿到文件先检查一下 32位程序 开启了NX保护 IDA静态分析一下 分配的s空间为60，限制输入32，乍一看是不会造成栈溢出的，但是下面有一个字符替换，就是输入I会被替换成you。I是一个字符，you是三个字符，那么我们可以输入20个I（满足32的限制），那么这20个I，最终被替换成了60个字符，从而造成溢出 0x02 exp： from pwn import * filename = 'pwn1_sctf_2016' e = ELF(filename) get_flag = e.symb

#前言 今天开始学pwn，以练促学，学以致用，加油加油 0x01 拿到文件，首先检查一下是多少位的，如图 可以看到是64位的文件 检查是否有保护，如图 看到没有任何保护 0x02 ida分析一下函数的逻辑 进入到反汇编如下，代码逻辑就是让我们输入，然后结束，我们主要看一下gets，因为gets有栈溢出漏洞 我们发现输入的地址空间大小为15，然后就执行函数返回地址，那么我们直接在15后将系统命令函数地址填入即可，或者直接写函数的名称，然后取函数地址也可以 0x03 exp from pwn impo