极目楚天舒的博客

0x01程序分析程序开启了PIE，说明got表和plt表位置需要通过泄露得到。题目一共可以存放下标为0-9一共10个role，游全局变量0x202130存放。Add函数添加role的管理结构，并将该结构指针存放于全局变量0x2020e0中。输入“S”则调用print的函数指针显示role管理结构所指向的内容。Add函数，为每一个添加的role分配一个结构用于管理，并将该结构地址返回存放于全局变量0...

0x01程序分析首先查看main函数，比较简单，调用了alarm和sub_80483B,进入sub_80483B看看。sub_80483B的作用是读取0x40个字节到ebp-40处，这里显然存在栈溢出漏洞。发现只开了一个栈不可执行，于是想构造rop链。但是整个文件搜索下来也没有发现什么有价值的gadget。0x02  return to dl-resolve知识学习玩过pwn的赛棍都知道，pwn题...

ROP攻击前提：存在栈溢出并且可以控制返回地址存在满足条件的gadget，如果开启了PIE保护则要想办法泄露gadget的地址ret2text程序本身存在类似于system('/bin/sh')或者execv('/bin/sh')的片段，我们可以直接将返回地址覆盖为其地址跳转到已有代码上。例子:TODOret2shellcode这种方法要求我们自己构造shellcode并控制程序跳转到我们构造的s...

该技巧就是劫持栈指针到自己可以控制的内存，然后进行ROP，一般来说一下几种情形可以使用栈溢出字节数较少，无法构造足够长的ROP链程序开启了PIE保护，栈地址未知将栈劫持到堆，利用堆漏洞例 boverflow分析检查保护qts@qts-PC:~/奇幻世界/杂题/xctf2016-qual-boverflow$ ./checksec.sh --file boverflow RELRO ...