pwn
关注
分享
扫一扫
嚚_瘖
这个作者很懒,什么都没留下…
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
buu|hitcontraining_uaf 1
hitcontraining_uaf1这里一次会申请两个堆,其中第一个堆放着print_note_content前4个字节位是print_note_content函数地址,这个堆块儿存在了notelist中在执行print_notet时,会调用notelist里存储print_note_content函数地址的堆块儿,及我们只需将notelist里堆块儿存的print_note_content函数地址改成后门函数地址即可申请两个堆块儿释放掉0x10里有两个堆,都是之前存...原创 2022-07-09 00:58:30 · 289 阅读 · 0 评论 -
buu|inndy_rop 1
buuctf|inndy_rop1原创 2022-06-19 09:44:54 · 234 阅读 · 0 评论 -
buuctf|ciscn_2019_s_3 1
buuctf|ciscn_2019_s_3 1如下图明显的栈溢出这里调用了系统号为0x3B(十进制为59)的函数,查下表是exeve(‘/bin/sh’,0,0),为了控制寄存器使其第一个参数为/bin/sh,其余为0,需要用到csu控制寄存器exp如下from pwn import*#p=process('./pwn_30')p=remote('node4.buuoj.cn',27704)pop_bx_bp_12_13_14_15=0x40059Acsu_2=0x400580s原创 2022-05-21 21:56:40 · 451 阅读 · 0 评论 -
buuctf|[HarekazeCTF2019]baby_rop 1
buuctf|[HarekazeCTF2019]baby_rop 1分析下载文件重命名为pwn_15,checksec一下只开启了NX,64位,用ida看看这里可以栈溢出,同时在侧面看到了system()shift+F12查看字符串找到binsh,由于是64位,我们要寄存器传参,ROPgadget下exp如下from pwn import*p=remote('node4.buuoj.cn',25977)#p=process("./pwn_15")system_addr=0x原创 2022-05-02 21:47:30 · 1468 阅读 · 0 评论 -
buuctf|ciscn_2019_en_2 1
ciscn_2019_en_2 1下载后我重命名为pwn_14了checksec一下nx开启,可以栈溢出64位,用ida看看分析下,只有输入‘1’有用,即encrypt函数较为重要,进入encrypt有gets(s),可以进行栈溢出,没有找到后门函数。那基本思路有了,这里可以栈溢出,但要绕过strlen判断,之后就是基本的ROP,ret2libc。exp如下from pwn import*from LibcSearcher import*context(os='linux', ar原创 2022-05-02 20:58:06 · 774 阅读 · 0 评论 -
buuctf|buuctf|get_started_3dsctf_2016 1
方法一我将文件下载后将其重命名为pwn_13,checksec一下可以直接栈溢出,32位,进入idagets(v4)可以栈溢出,这里没找到后门函数,只发现了get_flag函数,进去看看只要a1,a2满足值便可以输出flag,a1和a2是函数参数,我们可以进行传入,同时为了让get_flag正常结束,我们要使其返回函数为exit()exp如下from pwn import*p=remote('node4.buuoj.cn',26832)context.log_level='debu原创 2022-05-01 22:39:43 · 540 阅读 · 0 评论