摘要:
checksec ida 我们看到在vul函数中,有两个read函数,每个都读取了0x30(48)大小的字符,并放入字符数组s中,也就是说我们能溢出的只有8个字节,刚好覆盖到ebp和返回地址 所以我们需要栈迁移,使我们能溢出更多字节 首先利用第一个read,输入40字节的数据,刚好覆盖到ebp,然后 阅读全文
摘要:
查看一下保护情况 丢进ida里分析 主函数调用了一个含有alarm的函数,这个函数会设置一个定时器,到时间自动退出程序 为了方便调试,我们直接patch掉这个函数 接着分析,主函数读入了一个随机数,并将其传入sub_804871F函数 sub_804871F函数读取输入,并检查输入的是否和随机数相同 阅读全文
摘要:
检查一下保护情况 ida里选项2,3都没有什么重要的信息,直接看选项1 发现栈溢出漏洞,不过程序对输入的字符串有一个异或加密,这里可以构造异或后的payload,利用程序来解密,或者可以直接在payload第一位加上'\x00',直接截断payload后面的异或操作 用cyclic测一下溢出点,得到 阅读全文
摘要:
题目地址:https://buuoj.cn/challenges#get_started_3dsctf_2016 检查一下保护情况 拖进ida分析 主函数有个很明显的栈溢出漏洞 没有找到system函数,但是发现了这个函数 后面有两种解题思路 0x01 调用get_flag函数 这个函数读取了fla 阅读全文
摘要:
题目地址:https://buuoj.cn/challenges#[第五空间2019 决赛]PWN5 先检查一下保护情况 再拖进ida里分析 找到一个格式化字符串漏洞,那么我们可以利用这个漏洞去获取或者改写dword_804C044的值 从而进入if语句中,拿到shell 什么是格式化字符串漏洞 所 阅读全文
摘要:
首先检查一下保护情况 没有canary,没有PIE 拖进ida分析 大致就是一个猜数字的程序,有两种解法: 第一种是根据程序逻辑,修改v2的值,满足if条件 第二种是ROP,覆盖fun函数的返回地址,强行跳转至if语句块中 0x01-修改v2的值 双击v2变量,打开主函数的调用堆栈 我们可以看到,v 阅读全文
摘要:
先用checksec看一下保护情况 红色表示没有保护,绿色则表示有相应的保护 关于每种保护会在之后的做题中遇到,也有相应的应对措施,这次就不过多深入 打开ida64分析附件 发现高危函数gets,这个函数不会检查输入的长度,直到用户输入换行符为止 我们可以利用它修改函数的返回地址,从而执行后门函数 阅读全文
摘要:
简单题,知道nc怎么用就好 基本用法 nc 地址 端口号 地址可以是一个域名,也可以是ip地址,地址和端口中间不是:,而是一个空格 连接上之后直接ls就看到flag文件了,cat flag查看flag文件的内容获取flag 注意windows上的nc需要下载,linux上一般会自带 flag{c41 阅读全文
摘要:
先用Exeinfo PE扫一遍 发现upx壳,使用官方upx脱壳命令 upx -d re,成功脱壳 载入ida分析,shift+F12查找字符串,尝试在字符串窗口中搜索flag 点进这个 input your flag: ctrl+x查看交叉引用(或者双击DATA XREF后边的地址) 找到引用这个 阅读全文
摘要:
做了这么多道misc图片隐写题了,现在就来总结一下常见的图片隐写题涉及到的相关工具 010editor 十六进制文件编辑器 有些题目可能会在图片文件尾后面加上一些文字、另一张图片、压缩包等 这些信息不会显示在图片上,不过用十六进制文件编辑器便可以发现这些内容 下载地址1:https://www.sw 阅读全文
