![](https://img-blog.csdnimg.cn/20201014180756754.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
PWN
不会解pwn的泽
此人很帅,什么都没有写
展开
-
ret2libc2
ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址。先检查保护放入ida发现gets函数Shift+F12(因为在比赛中不会给你提示有没有 /bin/sh ,所以还是需要自己找一下)两个方法都没有发现/bin/sh...原创 2021-10-30 18:19:07 · 309 阅读 · 1 评论 -
ret2libc1
需要原文件可以找我要~拿到文件先checksec检查保护放入ida中查看main函数发现了gets危险函数,可以利用查看函数列表有一个secure函数,双击打开发现了system命令我们用Shift+F12查找有无/bin/sh找到了双击打开记下 /bin/sh 地址 0x08048720有了/bin/sh,接下来寻找system的地址我们可以在最下面看到syst...原创 2021-10-30 16:42:25 · 138 阅读 · 0 评论 -
ret2text
最近攻防世界和BUUCTF中剩下我没做过的题目已经对于我来说有些困难了所以我在CTF wiki 里开始学习,顺便再巩固一下基础这里是原文老样子,先checksec放入ida中查看main函数发现了gets这个危险函数,接着往下看用Shift+F12查看发现了/bin/sh这里你会看到有两个/bin/sh,但我们需要的是text中的地址记住 text 中 /bin/sh 的地址0x804863A...原创 2021-10-28 19:48:21 · 224 阅读 · 0 评论 -
BUUCTF [第五空间2019 决赛]PWN5
先checksec,开启了NX保护和Canary保护也就意味着不能用栈溢出来攻击了运行一下放入ida中查看main函数我们可以看到只要令atoi(nptr) == dword_804C044就可以拿到权限但dword_804C044是随机的,所以我们需要将它修改为我们想要的数据看到了printf(buf); 说明存在格式化字符串漏洞先计算偏移我们可以算出偏移为10(从AAAA到41414141)...原创 2021-10-27 20:08:49 · 205 阅读 · 0 评论 -
BUUCTF jarvisoj_level0
先checksec,仅开启了NX保护运行一下放入ida中查看main函数没有什么关键信息,双击vulnerable_function()在这里我们看到了漏洞buf定义了80个字节,而我们可以输入更多的数据接着找找后门函数这道题很简单,已经把后门给我们展示出来了记住后门函数的地址0x400596做完以上步骤我们就有思路了:覆盖buf 的80个字节因为是64位的文件,然后再加8个字节...原创 2021-10-27 18:22:57 · 277 阅读 · 0 评论 -
BUUCTF pwn1_sctf_2016
拿到文件先checksec,32位的文件,并且只开启了NX保护查看main函数没有什么东西,双击进入vuln()通过代码可以知道我们输入的I都会被replace函数替换为you而且s的长度为0x3c,也就是60个字节,可我们最多能够输入32个字符所以需要输入20个I来填充0x3c这个长度紧接着又发现了让人开心的东西在函数列表里面有一个get_flag函数,打开它会发现cat flag.txt命令并且我们记下他的地...原创 2021-10-27 17:12:18 · 180 阅读 · 0 评论 -
BUUCTF PWN ciscn_2019_n_1
拿到文件先checksec仅开启了NX保护放入IDA中查看main函数很简单,没有什么明显漏洞发现了func函数,双击试试看可以看到只要v2等于11.25125就可以执行cat flag命令先把11.28125转为16进制,放着备用(0x41348000)我们的思路就是利用gets这个危险函数,通过覆盖v1的地址来修改v2的值,进而执行system命令,拿到flag。写脚本frompwn impor...原创 2021-09-10 23:55:48 · 118 阅读 · 0 评论 -
BUUCTF warmup_csaw_2016
BUUCTF warmup_csaw_2016下载文件,把它拖入虚拟机中先checksec一下这是一个64位的文件,并且没有开启任何的保护我们先运行一下试试发现它给出了一个地址,我们先记下,可能会用到放入64位IDA中查看一下他的代码伪C代码↓汇编代码↓发现了一个函数sprintf,并且用%p的方式来输出,也就是输出地址下面是我搜索到的信息我们双击40060D看一下再回过头来看代码众所周知gets函.原创 2021-08-20 22:42:23 · 337 阅读 · 0 评论 -
攻防世界 PWN新手练习区 hello_pwn
攻防世界 hello_pwn先checksec一下,只开启了NX保护放入IDA中查看一下伪C代码发现程序很简单,只有两个puts函数,一个read函数和一个if语句通过读程不难发现read函数是我们攻击的一个点,只要覆盖了read函数分配的空间就可以做我们想要做的事情双击sub_400686板块,发现可以直接执行 cat flag.txt 命令那么思路就更加清晰了所以让dword_60106C==1853186401就可以执行...原创 2021-08-19 14:11:01 · 150 阅读 · 0 评论 -
BUUCTF PWN rip1 WP
BUUCTF PWN rip 1这是一个WP,也是一个自己练习过程的记录。先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题我们运行一下试试,它让你输入一段字符然后将字符输出。把文件放在ida中查看一下发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的点,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的点。我们双击 s ,看它有多少空...原创 2021-07-31 14:20:44 · 2417 阅读 · 0 评论