摘要:
直接输出了printf的地址 计算一下libc的基址,然后输入one_gadget from pwn import * #r=process('./one_gadget') r=remote('node3.buuoj.cn',26604) libc=ELF('./libc-2.29.so') r.r 阅读全文
摘要:
先看一下伪代码 想要让read函数存在溢出,起码要让read的nbytes大于0x10,但是又被上面的if条件给限制住了,不能大于0x10,那么这里存在一个整数溢出,如果我们输入的是 -1 那么就可以绕过if条件了,同时可以看到read函数的nbytes是unsigned int,unsigned 阅读全文
摘要:
picoctf_2018_buffer overflow 1 vlun函数存在栈溢出,直接栈溢出到win函数即可 from pwn import * r=remote('node3.buuoj.cn',25153) elf=ELF('./PicoCTF_2018_buffer_overflow_1' 阅读全文
摘要:
win是后门函数,将win的地址覆写到puts@got或者exit@got,后面执行puts或exit的时候直接跳转到win函数来getshell from pwn import * r=remote('node3.buuoj.cn',29217) #r=process('./PicoCTF_201 阅读全文
摘要:
需要用json的格式进行输入 输入 {"cmd":"ls"},只有一个index,php,而且不能读取 在先知中找到了后台的源码 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_ 阅读全文