摘要:
64位,进ida 没啥重要的,主要是check函数等于1才能跳出 后面是一个函数 可以看到都是数组,后面还有几个这样的函数,就不都截图了,直接上EXP吧 a1 = 33*[0] a1[1] = 99 a1[25] = 64 a1[27] = 101 a1[4] = 50 a1[17] = 114 a 阅读全文
posted @ 2024-07-17 11:25
yee-l
阅读(114)
评论(0)
推荐(0)
摘要:
checksec一下,64位,没开栈溢出保护,可以利用 进入ida,有个gets能利用,然后v5的大小是64 然后看见一个40060D函数,是可以利用的system函数 所以用64+8填满缓冲区和rbp,然后接400611这个地址 from pwn import * p=remote('node5. 阅读全文
posted @ 2024-07-17 10:31
yee-l
阅读(108)
评论(0)
推荐(0)
摘要:
先checksec一下,64位,没开栈溢出保护 进ida看一下,有个gets,s是15个字符 然后还有另一个fun()函数 现在我们就可以利用栈溢出 用15个字符先填满函数缓冲区,然后用8个字符(64位)填满缓冲区下面的rbp区域,再下面就是返回地址了,我们把它填成system命令的地址0x4011 阅读全文
posted @ 2024-07-17 10:23
yee-l
阅读(83)
评论(0)
推荐(0)
浙公网安备 33010602011771号