上一页 1 ··· 3 4 5 6 7 8 9 10 11 ··· 16 下一页
摘要: 直接输出了printf的地址 计算一下libc的基址,然后输入one_gadget from pwn import * #r=process('./one_gadget') r=remote('node3.buuoj.cn',26604) libc=ELF('./libc-2.29.so') r.r 阅读全文
posted @ 2020-03-28 16:15 高诺琪 阅读(904) 评论(1) 推荐(0) 编辑
摘要: 先看一下伪代码 想要让read函数存在溢出,起码要让read的nbytes大于0x10,但是又被上面的if条件给限制住了,不能大于0x10,那么这里存在一个整数溢出,如果我们输入的是 -1 那么就可以绕过if条件了,同时可以看到read函数的nbytes是unsigned int,unsigned 阅读全文
posted @ 2020-03-24 10:31 高诺琪 阅读(1299) 评论(0) 推荐(0) 编辑
摘要: picoctf_2018_buffer overflow 1 vlun函数存在栈溢出,直接栈溢出到win函数即可 from pwn import * r=remote('node3.buuoj.cn',25153) elf=ELF('./PicoCTF_2018_buffer_overflow_1' 阅读全文
posted @ 2020-03-12 11:42 高诺琪 阅读(962) 评论(0) 推荐(0) 编辑
摘要: win是后门函数,将win的地址覆写到puts@got或者exit@got,后面执行puts或exit的时候直接跳转到win函数来getshell from pwn import * r=remote('node3.buuoj.cn',29217) #r=process('./PicoCTF_201 阅读全文
posted @ 2020-03-12 09:59 高诺琪 阅读(581) 评论(0) 推荐(0) 编辑
摘要: 需要用json的格式进行输入 输入 {"cmd":"ls"},只有一个index,php,而且不能读取 在先知中找到了后台的源码 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_ 阅读全文
posted @ 2020-03-10 13:25 高诺琪 阅读(2564) 评论(3) 推荐(0) 编辑
上一页 1 ··· 3 4 5 6 7 8 9 10 11 ··· 16 下一页