- 博客(10)
- 收藏
- 关注
RSS订阅原创 buu 逆向第一页部分(17-24)
这是一道py逆向的题目,放入在线的反编译的环境我们现在对这个函数进行解密首先要异或回去接着简化加密所以最后的脚本。
2025-03-03 18:28:14
1180
原创 buu 逆向 刮开有奖 [ACTF新生赛2020]easyre 简单注册器
这题写的比较抽象(刚刚开始学re)感觉没有明显的字符串的提示,最后的flag都有种猜的感觉首先在main函数种找到flag藏的关键位置看到这里有可疑的字符串,基本上就可以确定flag在这里有,起码部分是有的点开 sub_4010F0函数,发现是一个排序的函数这里把伪代码转换成c语言注意伪代码的反汇编有些地址和数组之间的转换还是要注意的把上面的字符串填进去得到接着进入sub_401000这个函数,仍入ai发现是base64编码放到赛博厨子里面此时,我们只要做最后的flag拼接就好了。
2025-02-19 21:33:30
933
原创 西湖论剑2025 pwn
这里存在一个洞,vector+24是存放result的地方,连续push 7次就会把vector+24地方的改掉成我们输入的数字了。没有read 但是可以直接用mmap映射到空间上 ,write函数用\x90占位,然后正常syscall。这样就可以找到libc,后面就是利用edit劫持这个函数,改成system /bin/sh。题目映射了一段可以可读可写可执行的空间,并且调用执行这段空间。有两个防御,一个检查syscall只能调用两次,一个沙箱。因此,有可以直接用shellcraft生成一个提权的脚本。
2025-02-18 20:27:53
292
原创 BUU刷题第三页 pwn
这题写的气死我了,开始没看到system /bin/sh\x00全给了,疯狂在想着怎么去泄露libc,因为UAF,想着unsortedbin,结果怎么申请都是tcache_bin 申请多了会直接退出,申请大于0x400会直接失效。这题的偏移搞了挺久,当时一看这个不就是一个retlibc吗,然后自信写板子,结果一直卡在一个地方,结果发现是gets下面那个函数的ret是会ret到前一个gets ebp在栈上面的位置,最后调试发现位置是0x6c。找不到远程的libc版本,算了,本地打自己的libc是通的。
2024-12-16 20:38:31
756
4原创 栈迁移(详解)
栈迁移主要利用了leave_ret这个指令在函数的先执行到leave指令时,会将ebp处填充的地址pop到ebp中去,这样栈基地址发生了变化,在下次的栈位置就会发生变化有个图对这些指令变化阐述的比较清楚来自。
2024-09-09 21:21:44
685
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人