怪味巧克力的博客

0x01检查文件，64位检查开启的保护情况开启了NX保护0x02IDA静态分析在主函数这里并没有常见的gets栈溢出，尝试再这里面的子函数找找，发现了encrypt函数，进去查看发现这个变量x的自增是由空间大小限制的，猜测这里会出现栈溢出漏洞，写出exp尝试溢出0x03exp：from pwn import *from LibcSearcher import *content = 0context(os='linux', arch='amd64', log_level='

0x01拿到文件先检查一下32位程序开启了NX保护IDA静态分析一下分配的s空间为60，限制输入32，乍一看是不会造成栈溢出的，但是下面有一个字符替换，就是输入I会被替换成you。I是一个字符，you是三个字符，那么我们可以输入20个I（满足32的限制），那么这20个I，最终被替换成了60个字符，从而造成溢出0x02exp：from pwn import *filename = 'pwn1_sctf_2016'e = ELF(filename)get_flag = e.symb

#前言今天开始学pwn，以练促学，学以致用，加油加油0x01拿到文件，首先检查一下是多少位的，如图可以看到是64位的文件检查是否有保护，如图看到没有任何保护0x02ida分析一下函数的逻辑进入到反汇编如下，代码逻辑就是让我们输入，然后结束，我们主要看一下gets，因为gets有栈溢出漏洞我们发现输入的地址空间大小为15，然后就执行函数返回地址，那么我们直接在15后将系统命令函数地址填入即可，或者直接写函数的名称，然后取函数地址也可以0x03expfrom pwn impo