Rt1Text的博客

可以栈溢出,没有system函数,使用系统调用利用ROPgadget的功能直接利用程序中的片段拼凑rop链。

32位的堆题,只开了一个保护,应该很简单,不会很难。

64位,NX和canary保护。

32位,canary保护。

64位。

这题没有什么过多解释的,就是一道简单的ret2text,有shell的地址应该是太简单了做的人少就放在了BUUCTF的第二页,按照顺序做的,也就写上了

很明显的栈溢出,没有system(bin/sh) 32位的ret2libc3老规矩的脚本

很简单的程序,栈溢出 没有system (bin/sh) 很明显了 64位的ret2libc3老规矩的脚本

challC 库函数 - strcmp()C 库函数 int strcmp(const char *str1, const char *str2) 把 str1 所指向的字符串和 str2 所指向的字符串进行比较。strcmp只能比较字符串，比较数组和字符串常量，不能比较数字等其他形式的参数。两个字符串自左向右逐个字符相比（按ASCII值大小相比较），直到出现不同的字符或遇'\0'为止strcmp的返回值可控，传入空字符串即可strlen同样遇0截断。

标准堆菜单。

main很明显的溢出点再没有其它有用的信息,而且本题没有system,bin/sh既然如此,解决思路就有了,泄露libc,32位的ret2libc3。

泄露libc基地址,计算system,bin/sh地址,覆盖返回地址。最后ls没有发现flag,寻找flag。还要注意64位传参,寄存器的使用。直接cat flag在的位置即可。

read有栈溢出flag.txt进行栈溢出将返回地址覆盖为fopen函数地址。

无符号Int,输入-1进行溢出 ,绕过长度限制利用printf函数泄露libc,利用system('bin/sh')

有canary ,题目提升fm,考虑格式化字符串。

只有NX保护。

开启PIE了。

根据文件名可知是other shellcode。

没有开启保护,有可写segments,考虑shellcode。

经典堆菜单。

只开启了NX保护main跟进v4 offset=0x3cget_secret flag被写在bss段利用:

检查允许的系统调用orw是允许的,用open()打开flag文件，通过read()和write()读取并输出。

除了PIE,其它保护全开,规矩的堆菜单。

标准的菜单模式canary和NX保护2.sub_80487D4()3.sub_80488A5()利用思路泄露libc,调用system,执行bin/sh/,获取shellprint note可以打印泄露地址传入该函数的参数是note结构体自身，无法直接传入字符串“\bin\sh”,原来的note_puts(arg0)是对puts(arg0+4)的封装，而现在的system(arg0)中arg0并不指向字符串而指向system的地址，所以这里需要system参数截断，system

1.checksec+运行64位/NX堆栈不可执行2.IDA进行中1.main函数本题函数倒不是很多很明显,格式化字符串漏洞2.system bin/sh3.offset总体来看64位寄存器传参3.EXPfrom pwn import* p=remote('node4.buuoj.cn',27198) shell=0x601048system=0x400496rdi=0x400683 payload=b'a'*(...

1.checksec+运行32位/ NX保护开启/还有Full RELRO2.IDA进行中

1.checksec+运行32位/NX保护/canary保护2.IDA进行中1.main()函数printf()函数 考虑格式化字符串漏洞通过0x61616161可以确定参数在第10个位置上if ( atoi(nptr) == dword_804C044 ) { puts("ok!!"); system("/bin/sh"); }如何拿到binsh程序也给出了直接利用格式化字符串改写unk_804C044之中的数据，然后输入数据对比得到.

1.checksec +运行32位/NX保护2.32位IDA1.main函数gets()函数溢出跟进v4看看偏移offset=0x38这个题有些不同,看看调用函数的汇编该题没有用ebp寻址,用的是esp寻址也就是说不需要覆盖ebp四字节这就说明有时候后卡住回去仔细看看汇编2.get_flagif ( a1 == 814536271 && a2 == 425138641 )a1/a2满足条件即可得到flag.tx...

1.checksec+运行64位/NX保护2.64位IDA进行中1.main函数read()函数溢出跟进buf,看看偏移offset=0x10+8但要注意一点:read(0, buf, (unsigned int)nbytes);无符号整型,需要输入-1,进行整型溢出接下来就是常规的操作backdoor函数地址3.直接上脚本from pwn import*#p=process('./12babystack')p=remote...

1.checksec+运行32位+NX保护

1.checksec+运行32位/没有保护2.32IDA进行中1.hint函数提示函数,很有帮助,解题关键点直接跳到esp栈顶指针2.pwn函数明显的fgets()函数溢出跟进s看看偏移offset = 0x20+4向s里写入shellcode注意一点:如果直接用pwntools生成的shellcode,会很长,s里写不下所以这就需要我们优化shellcode的长度shellcode ='''xor eax,eax ..

1.checksec+运行64位/没有保护2.64位IDA进行1.main 函数明显的溢出函数gets()跟进v5看看offset = 0x40+8shift+f12真不错,cat flag.txt找它的地址3.上脚本from pwn import*#p=process('./3warmup')p=remote("node4.buuoj.cn",28180)flag_addr=0x400611payload=b'a'*(0...

1.checksec+运行64位/NX保护运行起来貌似很有意思,是一个加解密操作后来发现只能加密不能解密2. 强大的IDA进行中1.main函数貌似看不出什么2.encrypt函数加密具体操作大小写字母/数字进行异或运算发现gets()栈溢出s大小0x50需要先把加密函数绕过该函数的功能就是循环对输入的字符串进行加密，在加密前都有一个检查，只要v0的值大于或等于字符串的长度就跳出循环，通过strlen来计算字符串长度的，strlen计算字.

1.checksec+运行获取基本信息32位+NX堆栈不可执行2.常规IDA操作1.main函数并没有什么2.int vul()函数程序主体,信息很多1.两次read都在往同一个地方s处读入数据2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作但是shift+f12这里仅仅是打印flag字符串,没有用同时查看hack函数system里面的参数不是bin_sh不能直接用,所以要修改system的参数但是...