自定义博客皮肤VIP专享

*博客头图：

点击选择上传的图片

格式为PNG、JPG，宽度*高度大于1920*100像素，不超过2MB，主视觉建议放在右侧，请参照线上博客头图

请上传大于1920*100像素的图片！

博客底图：

点击选择上传的图片

图片格式为PNG、JPG，不超过1MB，可上下左右平铺至整个背景

栏目图：

点击选择上传的图片

图片格式为PNG、JPG，图片宽度*高度为300*38像素，不超过0.5MB

主标题颜色：

RGB颜色，例如：#AFAFAF

Hover：

RGB颜色，例如：#AFAFAF

副标题颜色：

RGB颜色，例如：#AFAFAF

预览取消提交

自定义博客皮肤

-+

上一步保存

zgwz123456的博客

pwn

关注

关注数：文章数：1 文章阅读量：198 文章收藏量：0

作者: zgwz123456

这个作者很懒，什么都没留下…

展开

BUUCTF not_the_same_3dsctf_2016

checksec 检查开启了什么保护开启了nx保护本地执行一下并没有看出啥拉入32位ida 主函数代码，接着找找字符串发现flag.txt，找到调用它的函数我是个pwn小白，一开始以为直接在main的get函数里溢出覆盖返回地址到这个函数就可以了，构造payload后发现程序卡住了然后看其他大佬的解题思路，发现从mprotect这个函数入手 32位程序参数从栈上传，但我们要保证栈平衡来让程序继续正常运行，所以我们要找三个pop，把我们构造的参数弹出去利用工具找到我们需要的pop地址 R

原创 2021-06-14 18:33:51 · 198 阅读 · 0 评论