高诺琪

摘要： 直接输出了printf的地址 计算一下libc的基址，然后输入one_gadget from pwn import * #r=process('./one_gadget') r=remote('node3.buuoj.cn',26604) libc=ELF('./libc-2.29.so') r.r 阅读全文

摘要： 先看一下伪代码 想要让read函数存在溢出，起码要让read的nbytes大于0x10，但是又被上面的if条件给限制住了，不能大于0x10，那么这里存在一个整数溢出，如果我们输入的是 -1 那么就可以绕过if条件了，同时可以看到read函数的nbytes是unsigned int，unsigned 阅读全文

摘要： picoctf_2018_buffer overflow 1 vlun函数存在栈溢出，直接栈溢出到win函数即可 from pwn import * r=remote('node3.buuoj.cn',25153) elf=ELF('./PicoCTF_2018_buffer_overflow_1' 阅读全文

摘要： win是后门函数，将win的地址覆写到puts@got或者exit@got，后面执行puts或exit的时候直接跳转到win函数来getshell from pwn import * r=remote('node3.buuoj.cn',29217) #r=process('./PicoCTF_201 阅读全文

摘要： 需要用json的格式进行输入 输入 {"cmd":"ls"}，只有一个index,php，而且不能读取 在先知中找到了后台的源码 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_ 阅读全文