yh-01

摘要： 首先查看一下文件的保护措施 在用ida打开看一下 这里的s在进行输入的时候可以输入没有长度限制的字符串，很明显存在栈溢出 然后观察一下函数的列表，存在一个win_func的函数 这里明显直接可以进行系统调用，直接传入命令即可 当然这里也有system函数可以直接使用 在打开字符串窗口，有 cat f 阅读全文

摘要： 首先查看一下文件的保护措施 在用ida打开看一下 这里就是一个menu,然后进行选择，进入不同的函数 这里主要注意到进入case1时，这里直接就有一个system函数，那么是否可以直接通过这个函数获得shell呢 在看看这里通过read函数向buf进行输入，在用strcat函数将输入到buf的字符串 阅读全文

摘要： 首先查看一下文件的保护措施 在用ida打开看一下 这里很明显在read函数进行输入的时候存在栈溢出，然后观察一下文件，没有后门函数，也没有可以用的binsh,那就可以向libc泄露这方面去想了 由于这里是64位的程序，所以在调用write函数进行泄露时，首先要对寄存器rdi,rsi,rdx进行赋值， 阅读全文

摘要： 首先检查一下文件的保护措施 在用ida打开看一下 这里很明显read在进行读取数据时有栈溢出 然后看一下文件没有后门函数，也没有binsh,那就是libc泄露了 这里可以调用printf进行泄露，但注意这里不能直接打印printf的got表，因为printf需要对格式化字符串进行解析，所以依赖其自身 阅读全文

摘要： 首先查看一下文件的保护措施 这里开启了一个IBT(Indirect Branch Tracking)保护，可以用来防止恶意跳转，如ROP链 然后用ida打开看一下 这里mmap函数就是在指定的一个地址开辟了一个空间，并且这个空间是可读可写可执行的 然后这里用read函数进行数据的输入，但是空间比较小 阅读全文

摘要： 首先查看一下文件的保护措施 在用ida打开看一下 这里主要的还是while中的read和printf,这里的0x10c是大于0xFF的，所以是不能进行栈溢出的 观察函数名称发现这里已经存在后门函数了，那就控制程序进行执行这个函数就可以获得shell了 虽然不能进行栈溢出，但这里明显存在格式化字符串的 阅读全文

摘要： 首先查看一下文件的保护措施 然后再用ida打开看一下 这里的mmap函数应该是从0x30303000开辟了一块地方，并且是可读可写可执行的，然后有read函数向这里读入数据 然后这里并没有栈溢出能够控制程序的执行流，那么猜测一下这个MEMORY函数应该是从这个地址开始进行执行，如果是这样的话，直接去 阅读全文

摘要： 首先查看一下文件的保护措施 然后用ida打开看一下 可以看到这里已经有system函数了，关键要找到/bin/sh参数的位置，然而文件的字符串里并没有 在这个函数里第一个read是向bss中的buf写入数据，并且这里的起始地址是知道的，且没有开启PIE保护，那就可以直接向这里写入/bin/sh 第二 阅读全文

摘要： 首先查看一下文件的保护措施 然后用ida打开看一下 这里printf(buf)存在格式化字符串的漏洞 并且v5中保存着name函数的地址，name中就保存着flag,那么就可以直接利用%s,打印v5上地址所对应的内容，即flag 那么就找出v5所处的位置是printf的第几个参数 0x7ffffff 阅读全文

摘要： 首先查看一下保护措施 然后用ida看一下 这里只要输入的值与buff中的值相等就可以获得shell了 可以在gdb里进行调试，找到在进行变化之后buff中的值 点击查看代码 from pwn import * io = remote("node5.anna.nssctf.cn",21094) pay 阅读全文