overflow_ez_32
首先checksec:
保护全关,一般保护全关的题目要么特别简单要么特别难。很显然(因为这是我自己做的题),这个是前者。(当然不是所有带有ez的题目都很ez)(但是这个是真ez)
直接拖到ida一探究竟。
有一个main函数和一个back_door,还有一个overflow和init函数,backdoor里面是一个超级大后门:
main函数里面是init和overflow,一个是初始化,还有一个是一个最简单的栈溢出:
如图可见,这里有一个不安全的gets函数,然后有一个s变量。
点进去之后我们就能发现,从-0x18到+0x04都是本栈帧的模样,然后要输入0x18个字节覆盖char字符串s和一个var_4,输入4个字节覆盖saved register,最后输入4字节的地址来覆盖return地址。
所需要的地址就是我们的backdoor函数地址…
backdoor的位置在0x080491F0这个位置上,当然我们也可以填入0x08049211这个地址,这样可以跳过上面那个puts函数的调用。不过这里没必要,我们就以backdoor的地址为需要进入的地址:
exp:
1 | from pwn import * |
非常简单。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Kanyo’s Blogs!
给我来杯咖啡
个人微信
相关推荐
2025-07-25
easy-shellcode
类型:shellcode、栈溢出 https://www.qsnctf.com/ 题目叫做:Easy_Shellcode 输入然后栈中执行,一开始的时候会输出v4的地址。 PIE每次会随机地址,但是按照人类逻辑的最前面三位不动。通过0x7ff将后面的值全部获取。再return到这里执行shellcode即可。 exp: 123456789101112131415161718192021222324from pwn import *context(log_level = 'debug', arch = 'amd64', os = 'linux')ip='challenge.qsnctf.com'port=34976file_addr = './easy-shellcode'p = remote(ip,port)# p = process(file_addr)elf = ELF(file_addr)v4_addr=int(p.recvline()[2:],16)print(...
2025-07-25
[NewStarCTF 2023 公开赛道]shell code revenge
特殊shellcode https://buuoj.cn/challenges#[NewStarCTF%202023%20%E5%85%AC%E5%BC%80%E8%B5%9B%E9%81%93]shellcode%20revenge 这道题有点像我之前做过的mrctf的shellcode的revenge。不过范围不一样。 大概看一下,把所有的大写字母和数字都排除在外了,意思是只要输入大写字母和数字就不会被break——跳出。 所以我们要创造一个只有大写字母和数字的shellcode? 然后我也懒得checksec了,而且用的是rsp——也就是64位。开了一些保护啥的,反正jumpout到的66660000h这个地址在上面的mmap里面写入了权限’7’(第三参数),也就是可读可写可执行。 整个代码的逻辑是:出现Show me your magic之后,进入一个for循环,for循环一开始会有一个read让我们输入数据,因为是一个char类型指针buf,每次读取一个值。然后下面的strncpy()会把我们一个一个输入的buf存到src里面的src复制到我们的0x6666000...
2025-07-25
ciscn_2019_s_9
Shellcode 栈溢出 https://buuoj.cn/challenges#ciscn_2019_s_9 首先checksec一下,看一下大概内容: IDA打开之后,发现有一个后门函数hint,逻辑如下: 使用此函数的时候,执行esp里面的内容(使用了jmp),我们不需要这些上面什么乱七八糟的东西,我们只需要.text里面的0x08048554的jmp esp就行了。先记下来这是我们可以利用的漏洞。 然后这里是程序唯一一个输入口,也就是说大概率这里有漏洞: 他首先可以让我输入32h的内容,不过通过伪C代码(其实汇编也能看到),这个字符串的长度只有24。也就是说可以构造栈溢出,这个就很简单了。那么我现在构造含有shellcode这样的一个payload: 所以说,大概代码如下: 12345678910111213141516171819202122from pwn import*context(log_level = 'debug', arch = 'i386', os = 'linux')p = re...
2025-07-25
dahuan_GuessNumber
随机数 大欢出的一道屎题、不过也算很有意思了。 核心思想就是进入一个func函数中,连续猜对20次数字便可以进入到一个叫做flag()的函数里 flag函数就是一个获取buf,然后把你输入的buf放入system里面来运行的玩意。而且没有可供栈溢出的空间。 在把buf传给system之前会有一个filter函数,这个里面会用str来对比字符串,如果我输入的东西里面有什么值被程序制作着定义为“不可以输入的”那么就会直接退出程序: 简直就是把可以禁用的全禁用了。 猜数字其实才是要记录的核心,就是用LibcSearcher库里面的cdll.LoadLibrary函数。因为我们的srand使用的time函数,是在题目所诞生的环境里诞生的。按照道理同一个环境的电脑同一时刻用time(0)作为种子生成出来的随机数一定是一样的。所以我们用附件里面的libc来生成随机数即可。 exp: 12345678910111213141516from pwn import *from ctypes import *from LibcSearcher import *context(log_l...
2025-07-25
inndy_rop
ROP-ret2syscall 栈溢出 https://buuoj.cn/challenges#inndy_rop 开了栈堆执行保护,有很多函数应该是静态链接,然后main函数里面有一个overflow,纯粹的小栈溢出。 这道题的思路大概是这样的:通过不断地创造return,跳转,来执行很多语句。 我们的目的是执行一个execv(“/bin/sh”),首先先要塞入/bin/sh,通过read函数来塞入到.bss段,然后再通过execv(.bss_addr)的内容即可. .bss段有好多空缺的部分啊,随便找个地址吧:bss_addr = 0x080EC010 然后让我们回忆一下这几个参数:首先int 0x80是syscall的作用,第一参数为eax,也就是调用int 0x80对应的函数。例如read是0x03,execv是0x0b 然后read和execv都有三个参数,在系统中,某个函数的第一参数是ebx,第二参数是ecx,第三参数是edx。如果加上int 0x80的用于选择调用系统函数的第一参数的话,上面就分别是第二参数到第四参数...
2025-07-25
jarvisoj_level1
ROP-ret2syscall,栈溢出 https://buuoj.cn/challenges#jarvisoj_level2_x64 checksec 保护全关,32位系统。其中一开始会输出buf的地址 这个逻辑很简单,我先输入shellcode,然后栈溢出,返回到栈上的buf地址运行即可。 exp: 12345678910111213141516171819from pwn import *context(log_level = 'debug', arch = 'i386', os = 'linux')ip='ip_addr'port=1111file_addr = './jarvisoj_level1'# p = remote(ip,port)p = process(file_addr)elf = ELF(file_addr)buf_addr = int(p.recvline()[len("What's this:")+2:-2],16...
