fdddddd

摘要： 基本啥保护都没开，也没有sys和binsh，第一个考虑写入shellcode 溢出的不是很多，如果自己生成的shellcode会超过溢出字数，自己写的倒可以控制长度 shellcode """ xor eax, eax ; 清零eax mov al, 0x0b ; execve系统调用号（11） x 阅读全文

摘要： 看到shell函数，可以直接找sh字符 ROPgadget --binary wustctf2020_getshell_2 --string "sh" 算一下可以发现只溢出返回地址的后一个 exp from pwn import * context.log_level='debug' io = re 阅读全文

摘要： 先检查一下保护，32位的 分析一下代码，发现buf距离ebp为0x18（24），但是read只溢出0x20（32），也就是只溢出8个字节，刚好覆盖到ret。 第一个read读取0x200到s（.bss段） 两个write会打印m1和m2，点击m1，m2查看 因为溢出不够，这时候我们可以考虑栈迁移，因 阅读全文

摘要： 打开ida查看，可以看到是静态编译，所以无法常规用ret2libc 此时可以用最简单的方法系统调用 首先ida上面的偏移量是错误的，我们手动用gdb算一下距离ebp为0x1c 因为要实现execve（"/bin/sh",0,0） 找int 0x80,eax,ebx,ecx,edx 因为程序里面没有b 阅读全文

摘要： 保护只打开了NX，ida打开发现左边有很多函数，是静态编译，无法泄露libc 看一下main函数，挺简单的，只有个栈溢出 这题可以使用ROPgadget工具，终端上输入 ROPgadget --binary rop --ropchain 可以直接生成rop链 不懂的话可以问一下ai是什么意思 这段代 阅读全文

摘要： 查看保护，开启了pie，没开NX保护，可以往栈上写shellcode 打开ida反汇编发现不行 那就直接看汇编，栈的大小是410，read只读入了400，无法造成栈溢出 不过也没关系，读入了0x400，已经可以读入shellcode了。直接往栈上写就行 exp from pwn import * p 阅读全文

摘要： 首先检查一下保护，发现没有开启NX保护，说明可以往栈上写shellcode 首先要确定距离ebp的偏移，还有shellcode的地址（将ret覆盖到shellcode的地址上） 确定离ebp偏移的代码 from pwn import * io=process("./ez_pz_hackover_20 阅读全文

摘要： 一个整数溢出，注意get_n函数把a2转换为了unsigned int类型，但在vuln函数里面比较的是int类型 输入-1即可绕过 这里的libc是不是太老了都打不通 exp from pwn import * from LibcSearcher import * io = remote('nod 阅读全文

摘要： main里面有个gets溢出函数，再点开flag函数看 可以看到传入了一个a1参数，如果win1和win2都是1且a1为-559039827时会输出flag的值 用十六进制比较，该数的十六进制可以直接再ida里面看到 看到win1函数设置了win1为1，win2函数需要再传入一个参数为-116322 阅读全文

摘要： 一个normal的栈溢出，没有system和binsh，为ret2libc 这里也没有常见的write和puts，所以我们用read泄露libc基址，并使用printf打印read的地址 这里注意printf的第一个参数必须是格式字符串，即Welcome to the Pwn World again 阅读全文