Mz1

摘要： pwn | [HarekazeCTF2019]baby_rop2 x64 ret2libc 给了libc 这个题有一点点问题，就是我本机ubuntu20栈溢出跳不出去。。。很怪，就直接打remote了。 补充 重新调试了一下，本机的问题(如下) rbp-4的地方是一个变量v6 所以读取完了以后对v6 阅读全文

摘要： pwn | jarvisoj_tell_me_something x64 栈溢出 ret2text 存在后门 直接溢出跳过去就行了。 唯一有点区别的就是这里面没有push ebp和pop ebp，所以只需要覆盖0x88就行了 exp: from pwn import * context.log_le 阅读全文

摘要： pwn | ciscn_2019_es_2 x86 ret2text 栈迁移 这是我第一次做栈迁移的题目，浅浅记录一下思路 关键的利用点在于利用leave ret的组合把esp搬到低地址的地方（也就是我们输入的地方） 这题有两次输入，第一次通过溢出获取ebp地址上的值，也就是原ebp的地址 这时候先 阅读全文

摘要： python | 一个简单的icmp shell实现（不完善） 一个是server端，一个是cilent端，其实问题还是很多的，尤其是在真实网络中的时候，这个shell只适用于直连的情况，并且data不能太大（因为icmp的限制） 如果之后有空的话，可能会完善一下,目标是尽量建立在不需要更改系统配置 阅读全文

摘要： pwn | pwn2_sctf_2016 32位ret2libc + 整数溢出 题目给了syscall 但是找不到pop eax，没办法使。 exp如下： from pwn import * from LibcSearcher.LibcSearcher import * import struct 阅读全文

摘要： pwn | bjdctf_2020_babyrop x64 ret2libc 常规题 注意调用约定即可 exp: from pwn import * from LibcSearcher.LibcSearcher import * import struct context.log_level = ' 阅读全文

摘要： pwn | bjdctf_2020_babystack2 ret2text 一个整数判断，比较的时候是int，传进read当参数的时候是unsigned int，输入负数就能绕过。 然后跳转到后门函数就行了。 怪没意思的，直接远程秒了。 exp: from pwn import * context. 阅读全文

摘要： pwn | 铁人三项(第五赛区)_2018_rop ret2libc 好久没整pwn题了，ret2libc整了好久才打通== vulnerable function 里面存在栈溢出，只开了nx保护。 libc的版本是2.27 再整理一遍延迟绑定的思路，首先，调用动态链接库中的函数采用的全部都是间接c 阅读全文

摘要： pwn | ciscn_2019_ne_5 菜单题：（不知道为什么ida7.0会sp错误，但是不影响，直接看汇编一样的） 在下面的switch case里面可以看出还有4这个选项： 点进去发现strcpy可以利用： 就是先addlog写rop，然后利用就行了。 一开始我的思路是scanf写个/bin 阅读全文

摘要： pwn | others_shellcode buu的题目，nc直接给shell 阅读全文