checksec什么保护都没开，到程序里发现有个fun函数可以调用shell，那我们直接覆盖rip指向这里就可以了

EXP

这里有点不太明白，为什么直接将rip指向0x401186就不可以

EXP

控制EIP指向代码段

IDA分析程序流程，发现程序只可以输入32个字符，而溢出点却要0x3c+4的大小

在往下看，会发现如果用户输入“I”的话会被转换位“you”，也就是说一个“I”占三位，那么0x3c+4/3=21，只要输入21个“I”在加上随便一个字符串，就可以造成溢出。

另外程序中有个get_flag函数可以直接返回flag，接下来只要控制EIP指向这个函数的地址即可

EXP

要先绕过字符转换机制

简单的数据覆盖，可以看到v2距离用户输入的v1变量只差0x2c的距离，填充这个距离然后跟上11.28125即可

需要注意一点的是我们不能直接发送11.28125，可以在IDA里先看一下源程序是怎么表达这个浮点数的

EXP

数据覆盖

打开IDA分析源程序可以看到溢出点在encrypt函数的get(s)这里。

而传进来的字符串会被分别异或运算一下，但是会被strlen(s)控制是否异或，可以直接拿\x00截断strlen获取的长度

接下来就是直接利用puts函数来泄露libc地址，使用libc中的system获取shell

EXP

\x00截断strlen()，以及不同环境的栈对齐

IDA一步步分析可以看到是先生成了一个随机数传到buf上，之后进入sub_804871F并将buf带入函数中传给s，读取用户输入到buf上

接着获取用户输入的长度传给v1，然后使用strncmp来与s比较v1位。如果相同则将v5返回给v2，并带入sub_80487d0中，而该函数中的用户数入的大小，则可以由前面的v2决定的。

那么整体思路便是先用\x00来截断strncmp的比较，然后跟上较大的值如\xff，当程序到sub_80487d0函数中时，就可以构造ROP链进行溢出了

EXP

\x00截断strncmp()

EXP

可以直接控制EIP返回到get_flag函数，然后传入参数1和参数2。或者直接控制EIP指向fopen(“flag.txt”,”rt”)处*0x080489b8*

EXP

控制EIP指向某函数传值。但是在打远程的时候出了点问题，暂时找不到解决的办法

checksec查看程序保护，开启了canary，到IDA搜索一下未格式化的字符串，果然有

点进去仔细看程序结构，先是生成了一个随机数到unk_804c044，然后读取name到buf,读取passwd到nptr，最后拿nptr和先前生成的随机数判断是否相同。

那么就可以在输入name时构造格式化字符串任意地址写漏洞，将1写进去，然后再输入passwd时，传入1即可

EXP

格式化字符串漏洞，任意地址写

很简单，IDA分析，var的第13位为17即可，而var的类型又是qword占4字节，所以可以用P32()来直接填充

EXP

填充QWORD类型的数据

利用SROP技术

因为程序中自带write函数，可以输出栈的地址，那么就只用接收一下这个地址，然后以该地址-read参数在栈中的偏移量就可以得出binsh的地址了。（具体偏移量在gdb中调试）

然后利用SigreturnFrame()框架来伪造Signal Frame，最后形成syscall(0x3b,"/bin/sh",0,0)的一条系统调用指令

EXP

第一次溢出先控制程序跳转至该函数，使flag.txt的值传到fl4g中

再次溢出，使用程序内已有的write函数，读取fl4g中的flag

EXP

控制程序读取flag.txt，利用write函数再读取

就是一个简单的64位rop，system函数和binsh字符串再程序中都有，再找一下pop rdi;ret代码段即可

另外就是flag文件居然没有再跟目录下，使用find / -name flag查找一下就可以了

EXP

和babyrop基本一致，只是程序中没有了system和binsh。但是给出了libc版本，并且程序中有printf函数，拿来泄露基地址，最后利用libc中的system即可返回shell。

起初我泄露的是printf的got表，但是只在本地有效，远程完全无法泄露，而read却可以。

使用printf函数泄露read函数的got表，但不可以泄露printf的got表

EXP

EXP

EXP

EXP

EXP

另外不清楚为什么本地和远程的题目不一样…..也就是说我拿不了flag…..

EXP

##jarvisoj_level2_x64

EXP

EXP

EXP

EXP

感觉这道题很有意思，是让运行程序时带上参数然后构成溢出

而argv1这个参数的值会被传给&dest，在这个过程产生了漏洞，而程序刚开始就已经将flag的值读取到了flag这个变量中，我们只需要让程序构成溢出，然后指向flag这个变量的地址即可

EXP

EXP

相比于getshell，该题的binsh字符串被打乱了

不过可以直接用ROPgadgets来搜索sh字符串，system("sh")也可以返回shell

然后就是buf空间的问题，28个字符后才可以控制程序执行，而buf缺只能输入36个字符

也就是说除去28个填充字符外，只可以再传入8位。

此时可以直接找一下程序中已有的代码段call system然后再加上sh刚好8位

可以看到只开启了nx保护

这里有两个常见的方法来获取flag

方法1：

使用程序中已有的get_flag函数来读取flag

使用ida查看伪代码可以看到这个get_flag函数要求传入的两个参数必须为814536271和425138641即可直接读取flag

方法2：

使用mprotect函数修改bss段权限来执行shellcode

使用gdb中的vmmap先来看一下bss段的权限

确定好溢出位后payload布局如下

mprotect函数+pop *;ret+参数1\2\3+返回地址[read函数]+pop *;ret+参数1\2\3+返回地址[shellcode_addr]

也就是先使用mprotect来修改指定bss段地址的权限，在利用pop esi;pop edi;pop ebp;ret来返回到指定地址如read函数上以读取shellcode到以修改权限的bss段地址上，最后再次利用pop esi;pop edi;pop ebp;ret片段返回到shellcode的位置上即可。

EXP

没有栈保护没有PIE

简单分析伪代码可以得知，第一次输入的内容必须小于32，

但在后面的再次输入中，必须大于44才能进行溢出，这里就要绕过v2>32的这个判断

而在get_n函数中，我们可以发现传入的参数a2是个无符号类型的整数，而这恰好可以通过整形溢出来就行绕过，我们可以输入-1，继续运行程序可以看到此时便输入很多的数据对程序进行溢出了。

通过整形溢出绕过大小的限制

之后通过程序中的printf函数对printf函数地址进行泄露

（其中要注意printf函数中需要有一个格式化字符的参数，这个可以拿程序中的13行printf时的格式化字符进行直接利用）

当泄露出printf的地址后，算出libc的基地址，进而加载system和binsh的地址，最后再次溢出即可getshell