qq_39980610的博客

BJDCTF2020 router

encryptde stack

BJDCTF2020dizzy

babystack

BJDCTF2020 babyrouter

pwn10

01栈溢出之ret2text

pwn7

函数栈平衡：保证函数调用前后的栈顶是一致的。所以exp基本一样但是要注意栈平衡。其实就是要进出都是esp（32位）已经提示了是pwn05的64位版。1.外平栈：由函数外部保持栈平衡。2.内平栈：由函数内部保持栈平衡。或者简单理解为函数要正确退出。

很明显的栈溢出ret2text。

我们知道，通常栈溢出的利用方式是通过溢出存在于栈上的局部变量，从而让多出来的数据覆盖 ebp、eip 等，从而达到劫持控制流的目的。当启用栈保护后，函数开始执行的时候会先往栈底插入 cookie 信息，当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变)，如果不合法就停止程序运行 (栈溢出发生)。当程序停止在比对canary的时候我们可以看到栈上的0xc有了一个数据其实就是canary。我们可以分别将断点下在printf函数和程序比对canary的地址。

所以如果我们知道 libc 中某个函数的地址，那么我们就可以确定该程序利用的 libc。此外，在得到 libc 之后，其实 libc 中也是有 /bin/sh 字符串的，所以我们可以一起获得 /bin/sh 字符串的地址。我们一般常用的方法是采用 got 表泄露，即输出某个函数对应的 got 表项的内容。然后接受到的地址就是程序在libc中的地址我们就可以确定libc的版本和libc基址。函数在libc中的偏移都是固定的我们可以通过基址加偏移拿到函数地址和binsh字段。然后我们再构造rop链。

pwn2

pwn1