GGbomb

摘要： 我们先看看程序的保护的情况 因为题目提示了orw，我们可以沙箱检测一下 可以发现是禁用的execve函数的，接着看函数逻辑 这里格式化字符串漏洞可以泄露canary和puts函数地址，先确定一下参数位置 可以发现参数是在第六个位置，接下来就是构造ROP，调用read函数读取shellcode到mma 阅读全文

摘要： 还是先看一下保护情况 开了canary，接着看主函数逻辑 看到这里的代码逻辑，我一开始是想通过printf泄露出canary的值，然后再用ret2libc来打，但是我发现这个libc不好泄露，一般的泄露的思路都是构造ROP，通过puts函数泄露出puts的got表内容，但是我在寻找rdi这个gadg 阅读全文

摘要： 查一下保护 拖进ida看主要逻辑 这里的代码逻辑为mmap开辟一段有执行的地址，可以写入shellcode，但这次写入的shellcode有限制 if ( buf > 90 || buf <= 47 || buf > 57 && buf <= 64 ) break;这里的限制shellcode的十六 阅读全文

摘要： 这道题来源于Hackgame2023的“奶奶的睡前flag”这道题目 附件是一张图片 根据题目的提示，谷歌的亲儿子可以搜索到这个pixel的截图漏洞 搜索 Pixel 截图 bug，可以发现很多新闻报道：Pixel 手机自带的系统截图工具存在漏洞，裁剪图片并不会删除原图，而是将裁剪后的图片的数据直接 阅读全文

摘要： 查保护 然后ida看代码逻辑 来到关键函数，这里存在栈溢出漏洞，但是这是数组循环一个字节读入，我们看一下i的地址 发现i的地址在rbp上面，所以我们构造payload肯定会把i的值给覆盖了，所以payload在构造时需要修改一下i的值，让我们的payload继续读入到正确位置，然后就是简单的ret2 阅读全文

摘要： import requests import json from lxml import etree from concurrent.futures import ThreadPoolExecutor 导入多线程所需要的库 def mians(num): url=f"http://www.1o1o. 阅读全文

摘要： 还是先查一下程序保护情况 然后看一下代码逻辑 可以发现这里的代码还是挺多的，这里讲一下几个关键部分，首先是开头的addr = (__int64)mmap(0LL, 0x1000uLL, 7, 34, -1, 0LL);将addr这个地址开始的地方变成rwx权限，我们看一下这个地址是哪里 发现addr 阅读全文

摘要： 这道题没给附件，直接就是nc 这个题目的意思是，我们随机输入一个数，然后发给我们一段base64加密后的密文，真正num就在里面，我们现在写个pwntools脚本提取一下这段base64密文，解密一下，看看是什么东西 exp： io=remote("node4.anna.nssctf.cn",280 阅读全文

摘要： import requests from lxml import etree url="https://pic.netbian.com/4kdongman/" domain="https://pic.netbian.com/" data=requests.get(url) #print(data.t 阅读全文

摘要： 看一下程序的保护状态 开了canary，接着看一下代码逻辑 可以发现，这里有格式化字符串漏洞，同时gets函数有栈溢出漏洞，现在只需要确定我们输入到buf的内容在格式化字符的第几个参数就行 可以确定buf在格式化字符串的第8个参数，又因为buf的偏移是0x20,所以canary在11个参数，因为ca 阅读全文