canaryPWN 未解决

分数: 20 金币: 2
题目作者: 神殇l布医
一  血: 不会修电脑
一血奖励: 2金币
解  决: 508
提  示:
描  述:
canary绕过以及栈溢出
其  他: pwn4
评论
nihaolmb 11天前

为什么要用_system函数地址0X400660,而不用system函数地址0X400442呢?main主函数里面也没有跳转到_system函数呀

回复 0

八一卜kod 24天前

flag{e270d0006de4411s6d5a73bcd}

回复 0

pjcxxx 2月前

师傅们,recvline函数是不是只能接收格式化字符串本来的样子,不能接收赋值之后的样子?

回复 0

Caerus 3月前

先发送0x240-0x8个a泄露canary,再构造 rop 链在 rbp - 8 处填充泄露的canary,注意栈对齐,需要一定滑板

回复 0

da111sy 4月前

https://zaoganmaqule.github.io/2024/08/21/bugku-ctf%E7%9A%84pwn%E9%A2%98%E8%A7%A3/#more

回复 0

草稿箱. 1年前

flag{e270d0006de4411s6d5a73bcd}

回复 1

罗老师yyds 2年前

通过溢出canary的00字节,泄露出一些东西,然后第二次就直接溢出获得shell了,有system,有bin/sh,,有canary

回复 1

Asteri5m 2年前

远端的环境是咋样的,就还是有点奇怪,说一下问题: 远程能通,本地的话是会报错,调试了发现是system函数的问题,直接将返回地址设置为system就会出问题。 解决方法: 将payload的system的地址替换为 call system的地址。例如hint函数里的call _system (0x40080C) 然后本地也能通。 但是为什么直接system会出问题还不清楚

回复 1
liert 1年前

可能是你那个版本的system函数里面有检测栈对齐的代码,导致栈空间变化从而导致程序运行出错,你可以返回两次ret指令在返回到system,看看会不会报错

回复 1

Asteri5m 2年前

@main1o 不行奥,但是能打通就好(手动滑稽)

回复 2

main1o 2年前

这个什么原因啊,试了一下也是,改成call _system的地址就打得通,jmp _system的就不可以,老哥你解决了没

回复 2

rogxo 3年前

学习Canary绕过很好的题目

回复 0

tomPeter15 3年前

学到了,学到了。多谢。

回复 0

WriteUp

image
SillyRabbit

10 金币

评分(3)

解题动态

linyanxuan 攻破了该题 4天前
cdeydgh 攻破了该题 4天前
鬼医16 攻破了该题 6天前
XmN<=GzR 攻破了该题 8天前
18185185996 攻破了该题 11天前
Wtuall 攻破了该题 11天前
Mzktop1 攻破了该题 15天前
LiBry 攻破了该题 16天前
18705842279 攻破了该题 18天前
coldplay99999 攻破了该题 20天前
秦越人prover 攻破了该题 22天前
八一卜kod 攻破了该题 24天前
yangyusheng 攻破了该题 25天前
Rounty 攻破了该题 27天前
51hh 攻破了该题 28天前
Eanck 攻破了该题 28天前
255a 攻破了该题 1月前
15346899030 攻破了该题 1月前
nhyu 攻破了该题 1月前
pbidle 攻破了该题 1月前
问题反馈