pwn | bjdctf_2020_babystack2 ret2text 一个整数判断,比较的时候是int,传进read当参数的时候是unsigned int,输入负数就能绕过。 然后跳转到后门函数就行了。 怪没意思的,直接远程秒了。 exp: frompwnimport* context.log_level ='debug'p = remote('node4.buuoj.cn',28943) p_backdoor =0x0000000000400726...
在sub_804871F这块 1、buf以"\x00"开头,绕过随机数比较。 2、溢出buf使var_25返回一个ascii码比较大的字符(至少大于0xE7),这里取单个字节可表示最大的字符“\xFF”。 在sub_80487D0这块 利用read(0, buf, var_EC)对buf进行溢出,buf大小为E7,可输入大小为FF,一共可溢出24个字节。 system函数真实地址 i...
bjdctf_2020_babyrop2,bjdctf_2020_babyrop21.ida分析有个字符串格式化漏洞,应该是利用这个漏洞泄露出canary的值。存在栈溢出漏洞。2.checksec3.解决exp