aaaaaaaa:
checksec检查,ida分析:
image.png
image.png
开了堆栈不可执行的保护,分析逻辑很简单,就是输入必须a,且是一堆a,a数量大于99即可,就可以直接getshell了,上脚本:
image.png
image.png
薯片拯救世界1:
checksec检查,ida分析:
image.png
image.png
开了Cannary栈溢出保护,堆栈不可执行保护。逻辑就是将读取出来的flag放到bss段s1中,看到read函数,在while循环里面,输入存到buf中,buf与s1进行比较,匹配就成功,不匹配就失败,这里本地测试时需要自己写个flag(24位的大小)不然跑步起来,刚开始以为可以绕过泄露cannary去绕过保护,失败了,换思路,拿出逆向的思想,这题或许可以暴力破解,就是ASSCI码一个个去试,加个截断符\x00,每一次只要成功了,就往下,猜想flag是hgame{xxxxx},所以直接上脚本:
image.png
image.png
image.png
总结:当思路不对时,及时调整思路,爆破的思路继续学习~
babysc:
image.png
64位,没有开任何保护,堆栈可以执行,直接生成shellcode,确定下来,然后去ida看看逻辑:
刚开始,发现F5大法不行了,此时两种方法:1、直接刚汇编 2、nop掉fail的地方,就可以F5大法了,我们选择方法2,把call rdx nop掉,得到图:
image.png
这里很明显是进行了异或加密,逻辑很简单,直接生成的shellcode先进行异或一次(相当于加密),发送过去时它又会异或一次(相当于解密),就是我们的shellcode了,paylaod:
image.png
image.png
之前做逆向题也遇到过代码异或加密的题目,把代码转成16进制,进行解密,再转成字符型,也作为一个经验的积累吧。
Stein;Gate:
检查下保护机制:
image.png
保护还挺多的,就一个地址随机化没有开了
ida分析:
image.png
看来是有很多关卡要过了,一个个来吧:
image.png
看来要return 0才能一步步地过关,不能中途exit(0),看看参数函数,也就是
第一关:
image.png
看到random,应该会产生随机数,然后看到输入ID是到bss段的,没什么思路,暂时知道ID是放到bss中,看看下一关:
image.png
看到是有栈溢出的操作,但是开了栈溢出保护,不能直接溢出哎,只能先覆盖那个v2 为0x2333才能进入下一关,那么查看栈中的位置:
image.png
image.png
v2就是那个var_10,所以栈的偏移为0x40-0x10=0x30,然后覆盖那个0x2333即可过第一关,下一关:
image.png
格式化字符串漏洞!小窃喜,下断点看程序:
image.png
可以发现,我们的输入在rsi寄存器中,而我们的随机数v4刚好在我们的rsi所在栈中位置的上一个,所以随机数在栈中的位置与esp的偏移为2,而64位因为6个寄存器优先存值,rsi是第二个寄存器,所以rsi到栈esp有5的偏移,所以总的偏移为7,这样就可以泄露出随机数的值了,这个值加上那个0x1234又写回到v4中,所以可以用填充的方法实现,又因为第三关要提前填好v1成0x6666的值:
image.png
所以在这里一起写:
image.png
来到第三关:
我们知道那个v1已经写好了,这里读取5个字节,然后又是格式化字符串的漏洞,那么可以canary泄露了,我们知道canary是存在于ebp的上一个的值,紧挨着ebp的,那么就可以知道它的偏移量了:
image.png
可知在栈中相对于ebp的偏移是6,而rsi和esp的偏移为5,所以总的偏移为11,那么:
image.png
这里我们就得到了canary的值,到时填充到它的溢出位置就能实现栈溢出了,到时直接一个gadget利用system函数就能getshell了:
image.png
网友评论