摘要:
hitcon_ctf_2019_one_punch 保护全开,ida打开,libc版本为2.29 删除功能存在uaf from pwn import * context(os = "linux", arch = "amd64")#,log_level= "debug") context.termin 阅读全文
摘要:
bcloud_bctf_2016 32位,ida打开,菜单堆题,只有增加删除修改功能,在选择功能之前会让我们输入名字,且会把我们输入的名字打印出来,这里写满的话会把第一个堆块的指针地址泄露出来(尝试), 下图通过strcpy可以造成堆溢出,我们用来修改topchunk的size进行house of 阅读全文
摘要:
1、护网杯_2018_gettingstart 64位,RELRO半开,Canary,NX,PIE全开 就是普通栈溢出 Exp: from struct import pack from LibcSearcher import * from pwn import * #context(os='lin 阅读全文
摘要:
1、[SWPUCTF 2021 新生赛]nc签到 附件打开,禁用了cat、ls、cd、echo、<${IFS} 解法一,用l\s,或者l's' 后c\at$IFS$9flag $IFS$9相当于空格 解法二,输入bash,再直接cat flag 2、[SWPUCTF 2021 新生赛]gift_pw 阅读全文
摘要:
1、ciscn_2019_n_3 32位,RELRO半开,Canary开了,NX开了,ida打开看看,libc是2.27,有tcache from pwn import * from LibcSearcher import * from struct import pack from ctypes 阅读全文
摘要:
1、babyheap_0ctf_2017 保护全开,64位,动态链接,ida打开,菜单堆题 输入1分配堆块,分析sub_D48函数 chunk的指针指向堆块缓冲区的,输入2进入fill函数的调用,对修改的chunk大小无限制,则可以造成堆溢出 之后看看Free的操作,也就是sub_F50函数,正常, 阅读全文
摘要:
1、test_your_nc 2、Rip 日常检查 延迟绑定可以ret2libc3 有可写可读可执行段 后门函数system(”/bin/sh”) gets()函数栈溢出 动态调试一下 pwngdb 的b 步过到gets()函数处输入几个a,根据下方动调知到偏移为15个字节 ,后要加个a*8覆盖rb 阅读全文