附件 checksec查看防护: IDA静态分析: Main 主函数没有什么信息,接着查看vul 函数 可以实现栈溢出,但是溢出长度不够,能够覆盖到rbp,但是没有现成的后门函数。 这题的解题方法为栈迁移,但是这题不同于一般栈迁移的地方在不将栈迁移到bss或者是data段,而是将栈迁移到栈上。通过第一次print获取到字符串s在栈上的地址,第二次写入fake栈并进行栈迁移。 首先查看下溢出的长度为 ...
2020-08-16 12:12 1 659 推荐指数:
花了两天时间做了这四道题,感觉收获很多。但是这种收获感觉写文章写不出自己的思路,就录制了一个视频。 pwnable_start 这道题考察了系统调用,shellcode的编写,和动态调试的知识。 ciscn_2019_es 这道题考了栈转移,先泄露栈地址 ...
这道题用来做栈迁移的例题真是再合适不过了 查看防护 main函数 存在hack函数,执行系统命令echo flag。没有binsh,需要自己写入 ...
# encoding=utf-8 from pwn import * from LibcSearcher import * sh = remote('node3.buuoj.cn',29416) # sh = process('./ciscn_2019_c_1') # sh ...
--binary ./ciscn_2019_c_1 可以查看文件拥有的gadget。 这里我们会用到0x00 ...
在做buu题目的时候,发现在最上面有几道被各位师傅打到1分的题,强迫症逼迫我去做那几道题。 这里来试着去解决这些题。。。讲真的,我感觉自己刷题真的少,即使是很简单的栈题目,我还是能学习到新的东西。这里就记录一下这几道题。 pwn1_sctf_2016 检查了一下 ...
步骤: 找到lv6的购买出,修改折扣买lv6 ;然后找到admin的登陆界面,JWT破解,登陆admin ;点击一键成为大会员,利用python反序列化漏洞读取flag ...
id=0 id=1 id=2 id=3 在自己的环境下验证一下: 爆一下数据库: id=(ascii(substr(database(),1,1))>3 ...
步骤: 1.运行这个: <?php class User { public $db; } class File { public $filename; } class ...
