摘要:
##BMZCTF-MISC-2018 HEBTUCTF 签到题 下载以后发现是一个附件,不清楚是什么类型,丢到kali里面发现压缩包,解压之后还是类型未知,kali里面显示是一张图片。 打开也没什么东西,用010editor打开,最后发现flag。 阅读全文
摘要:
将35795746换成十六进制0x2223322(按H) 根据函数,只需要令key等于0x2223322即可getshell 查看一下 imagemagic()函数 存在格式化字符串漏洞 具体看wiki:https://ctf-wiki.org/pwn/linux/user-mode/fmtstr/ 阅读全文
摘要:
gets函数不限制输入的长度,存在溢出 查看栈空间,payload = 0xf + 8 发现fun()函数, 构造exp from pwn import * p = process('pwn1') #p = remote('redirect.do-not-trust.hacking.run',100 阅读全文
摘要:
srand会生成一个随机数放到804c044中,当password和随机数相等,就getshell 我们看到,有两个输入点,name有回显, 这里有明显的格式化字符串漏洞, 阅读全文
摘要:
gcc常用命令 gcc -o test test.c //-o是指输出的 保护机制 NX:-z execstack / -z noexecstack (关闭 / 开启) 不让执行栈上的数据,于是JMP ESP就不能用了 Canary:-fno-stack-protector /-fstack-pro 阅读全文
摘要:
easyre 直接丢ida里面,就能看到flag reverse1 F5反编译,查看函数 有点多,shift + F12查找字符串 strncmp函数比较Str1和Str2是否xiangt 同时当字符的值是111时,要换成48 双击Str2 为了锻炼编程思想,写个脚本吧 key = "{hello_ 阅读全文
摘要:
先检查运行一下 ida 看一下vulnerable_function函数 payload = ‘b’ * (0x88 + 4) 发现存在溢出,栈空间136,可以输入的长度256 但是没有发现system函数和/bin/sh,可以泄露write的地址,从而 去找到需要的函数地址 利用write@plt 阅读全文
摘要:
执行一下 似乎出现第一个i被替换成you 检查一下保护机制 丢到ida里面 输入的变量s大小为0x3c,但是我们看fgets里面,我们只能输入32个字符,没法进行溢出, 我们在输入的时候,会发现i会被替换成you,所以我们可以利用20个i来填充, 找到shell,地址为0x8048F0D 返回地址再 阅读全文
摘要:
新年快乐 只有两个函数,可能加壳了,使用PEID进行脱壳 upx加壳 利用万能脱壳工具进行脱壳 把脱好壳的函数放进ida里面,就可以看到各个函数,查看一下main函数 可以看到这个程序的目的是把str2的长度和内容和你输入的值进行对比,所以很显然HappyNewYear!就是flag xor 丢入i 阅读全文
摘要:
第六章 CTF之PWN章 1.stack 64位,开启了NX保护 shift + F12查看里面的字符串 发现自带system和bin/sh的地址 bin_sh = 0x400537 gets函数对输入的长度没有限制 查看一下v1的栈空间 需要填充0xA + 0x8的空间 payload = “A” 阅读全文