11 2022 档案

pwn | pwn2_sctf_2016
摘要:pwn | pwn2_sctf_2016 32位ret2libc + 整数溢出 题目给了syscall 但是找不到pop eax,没办法使。 exp如下: from pwn import * from LibcSearcher.LibcSearcher import * import struct 阅读全文
posted @ 2022-11-27 09:31 Mz1 阅读(172) 评论(0) 推荐(0) 编辑
pwn | bjdctf_2020_babyrop
摘要:pwn | bjdctf_2020_babyrop x64 ret2libc 常规题 注意调用约定即可 exp: from pwn import * from LibcSearcher.LibcSearcher import * import struct context.log_level = ' 阅读全文
posted @ 2022-11-26 16:11 Mz1 阅读(24) 评论(0) 推荐(0) 编辑
pwn | bjdctf_2020_babystack2
摘要:pwn | bjdctf_2020_babystack2 ret2text 一个整数判断,比较的时候是int,传进read当参数的时候是unsigned int,输入负数就能绕过。 然后跳转到后门函数就行了。 怪没意思的,直接远程秒了。 exp: from pwn import * context. 阅读全文
posted @ 2022-11-26 15:37 Mz1 阅读(29) 评论(0) 推荐(0) 编辑
pwn | 铁人三项(第五赛区)_2018_rop
摘要:pwn | 铁人三项(第五赛区)_2018_rop ret2libc 好久没整pwn题了,ret2libc整了好久才打通== vulnerable function 里面存在栈溢出,只开了nx保护。 libc的版本是2.27 再整理一遍延迟绑定的思路,首先,调用动态链接库中的函数采用的全部都是间接c 阅读全文
posted @ 2022-11-26 13:17 Mz1 阅读(165) 评论(0) 推荐(0) 编辑
pwn | ciscn_2019_ne_5
摘要:pwn | ciscn_2019_ne_5 菜单题:(不知道为什么ida7.0会sp错误,但是不影响,直接看汇编一样的) 在下面的switch case里面可以看出还有4这个选项: 点进去发现strcpy可以利用: 就是先addlog写rop,然后利用就行了。 一开始我的思路是scanf写个/bin 阅读全文
posted @ 2022-11-25 14:44 Mz1 阅读(49) 评论(0) 推荐(0) 编辑
pwn | others_shellcode
摘要:pwn | others_shellcode buu的题目,nc直接给shell 阅读全文
posted @ 2022-11-25 12:00 Mz1 阅读(40) 评论(0) 推荐(0) 编辑
pwn | ciscn_2019_n_5
摘要:pwn | ciscn_2019_n_5 很简单,啥保护都没有 思路也很简单,直接全局变量写shellcode然后栈溢出跳转过去。 存在一点点问题,就是本地ubuntu20bss段执行不了shellcode,目标机器ubuntu18可以执行【很怪,这个地方一直没弄明白】。 exp: from pwn 阅读全文
posted @ 2022-11-25 10:57 Mz1 阅读(60) 评论(0) 推荐(0) 编辑