Henlenl的博客

检查文件信息amd64-elf文件开启了Canary保护开启了NX保护ida静态分析进入到sub_4008EB函数 格式化字符串漏洞另外进入到sub_400960()函数有栈溢出漏洞但是有一点开启了Canary 那么我们可以通过 格式化字符串任意读 泄露Canary地址 然后利用这个地址来进行溢出漏洞的利用 栈分布如图而我们知道 v2就是用来储存canary的值的变量而buf 大小位0x90v2的大小位 0x8覆盖return addr，需要0x90-0x8=0x88大小去

文章目录查看文件信息IDA分析查看文件信息32位 且开启了NX保护一个创建堆的程序IDA分析将文件丢入IDA32位 进行反汇编分析main函数就是一些选择咱们进入相关的函数分析我们先看add_note()函数仔细研究后可以发现,咱们可以控制第二个chunk...

文章目录查看文件信息IDA 分析exp查看文件信息checksec 一下 开了个NX保护IDA 分析我们扔进IDA64里面 查看反汇编代码 以及 伪代码,给我的感觉就是v4 能溢出 然后连到/bin/sh 利用万能的gadget，pop rdi retexpfrom pwn import *elf = ELF('./babyrop')#r = process('babyrop')r = remote('node3.buuoj.cn',28916)system = elf.s

文章目录查看文件信息IDA静态分析exp查看文件信息开了个NX保护IDA静态分析开始看上去 其实就是利用gets()来溢出的我们可以 shift+f12 查看字符串 可以看到 flag.txt 这个字符串我们进去看一看…开始的思路其实是利用gets函数溢出来覆盖返回地址去读出flag，然后利用get_secret函数的输入点造成溢出覆盖返回地址到write函数的地址，打印出unk_80CF91B里面储存flag的内容,但是要知道的是,fgets函数其实是有保护机制的,所以我们利用这个是读

文章目录查看文件信息IDA 分析exp查看文件信息amd 64位系统 NX保护IDA 分析nc 程序连接一下没什么东西 给了几个选择的按钮IDA 64分析一波发现其实程序就只能选择1 而且关键函数是encrypt我们进去看一下所以 只要让 var[13] = 17就行了exp但是 这里要说明一下 32位程序是能直接去内存中寻址执行的64位就是要依靠寄存器来寻址 然后找到地址返回给程序去执行的...

文章目录查看文件信息IDA 分析exp查看文件信息checksec 一下,保护还开的挺满 canary(栈保护)，nx(堆栈不可执行)，PIE(地址随机化)IDA 分析其实我们应该nc 连一下的查看远程程序运行情况丢入 32位IDA分析一下很显然 程序的意思就是让 var[13] == 17就能拿到shell了expfrom pwn import *r = remote('node3.buuoj.cn',27168)#r = process('./ciscn_2019_n_8')

文章目录查看文件信息IDA 分析exp查看文件信息64位elf文件IDA 分析我们来到main()函数再进入vulnerable_function()函数典型的read()栈溢出漏洞,buf有0x80 [rbp + 80h] 所以 如果要覆盖的话 需要0x80 + rbp本身的8字节同时我们发现 callsystem函数 地址为 0x400596，所以payload = ‘a’ * (0x80 + 8) + p64(0x400596)expfrom pwn import *