花了两天时间做了这四道题,感觉收获很多.但是这种收获感觉写文章写不出自己的思路,就录制了一个视频. pwnable_start 这道题考察了系统调用,shellcode的编写,和动态调试的知识. ciscn_2019_es 这道题考了栈转移,先泄露栈地址,再栈转移回去写rop链. ez_pz_hackover_2016 这道题打开学习到的也是动调,发现动态调试真的有用. pwn2_sctf_2016 这道题本来不计划放到视频中的,录着录着乱了...这里有一个符号判断的问题,感觉视频中没有讲清楚,…

pwnable_start 附件 步骤: 例行检查,32位程序,什么保护都没开,首先想到的是ret2shellcode的方法 本地试运行一下,看看程序大概的情况 32位ida载入,没法f5,好在汇编不长,看得懂 一开始调用write函数输出了let's start the ctf,4是write函数的调用号,之后的调用号是3,调用了read函数,我们知道dl这个寄存器是控制输入字符的多少的,也就是所我们可以输入0x3c个字符,也就是执行了 write(1,buf,0x14) read (0,bu…

ciscn_2019_es_2 附件 步骤: 例行检查,32位程序,开启了nx保护 32位ida载入,shif+f12查看程序里的字符串,这边的"echo flag" 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入2次…

ez_pz_hackover_2016 题目附件 解题步骤: 例行检查,32位,开启了RELRO保护,二进制的保护机制看这里 由于没有开启nx保护,对于这题一开始想到的是利用写入shellcode来获取shell 试运行一下程序,看到程序一开始给我们了一个地址,随后让我们输入 32位ida载入,首先习惯性的shift+f12检索程序里的字符串,没有看到敏感的函数 从main函数开始看程序 程序主体在chall函数里 一开始给我们输出了参数s的地址,之后利用fgets函数读入1023(0x3ff)…

pwn2_sctf_2016[整数溢出+泄露libc] 题目附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,看看大概的执行情况 32位ida载入,shift+f12检索程序里的字符串,没有看到现成的system和'/bin/sh',加上开启了NX保护,估计是泄露libc类型的题目 从main函数开始看程序,main函数就调用了一个vuln函数 注意第7行的输入函数不是get,是程序自定义的函数get_n, 接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型…

第一次接触这种类型的题,例行检查一下 题目是32位 没有开启nx保护可以通过shellocode来获得shell 将题目让如ida中 由于第一次碰到这种题,所以我会介绍的详细一点, 可以看到程序中调用了俩次int 80 ,第一次调用int 80是执行了write打印出了push到栈的内容,因为需要用shellcode来做这道题所以我们需要知道偏移,通过程序我们可以泄露出esp的值,mov ecx,esp是将esp的值放入ecx中,所以我们可以通过溢出使程序跳转到这获得esp的值,当获得esp的值…

第一次写内联汇编的题目,以前见师傅们在exp中写汇编,感觉很厉害,今天碰到了,也记录一下. 下载附件发现是32位程序,什么保护都没开,ida看一下伪代码. 可以说是很简洁了,调用了一个write和read函数,就没了. 做了这个题才发现看汇编很重要,执行的是write(1,buf,0x14),read(0,buf,0x3c). 下面又add esp,14h,应该就是内平栈了,说明buf距离返回地址的距离是0x14. 可以进行溢出,先溢出返回地址到0x08048087,这样会将栈地址打印出来,此时…

[BUUCTF-Pwn]刷题记录1 力争从今天(2021.3.23)开始每日至少一道吧--在这里记录一些栈相关的题目. 最近更新(2021.5.8) 如果我的解题步骤中有不正确的理解或不恰当的表述,希望各位师傅在评论区不吝赐教!非常感谢! [OGeek2019]babyrop /dev/random和/dev/urandom是unix系统提供的产生随机数的设备,先产生一个随机数 输入放到buf里,然后与随机数比较,不等的话程序就结束了,于是将输入的第一个字母弄成'\0',以绕过strncmp 后…

get_started_3dsctf_2016 关键词:ROP链.栈溢出.mprotect()函数 可参考文章(优质): https://www.cnblogs.com/lyxf/p/12113401.html #!python #coding:utf-8 from pwn import * from LibcSearcher import * context.log_level = 'debug' #context.arch = 'i386' elf = ELF('./get_started_…

温故而知新,可以为师矣.所以花了几天时间重新做了下 buuctf 的 pwn 题,先发下第一页共 32 题的题解.还有如果题解都很详细那么本文就太长了,写起来也浪费时间,所以比较简单的题就直接丢 exp 了,不懂可以去看其他人的题解,难的题我觉得我写的题解应该是挺详细的.截至到发文日期,只要是涉及 libc 的题目的 exp 都是能打通远程的.如有错误评论欢迎指正. test_your_nc 直接 nc 连接即可得到 shell rip 简单的 ret2text ,不过靶机是 ubuntu18…

一.对数据库的操作 1.  创建一个库 create database 库名 create database 库名 character set 编码…

这两题为什么要记录呢,一个是我发现网上很多教程没写清楚(也可能是我太菜了),二是细节点很多,不同的大佬方式不太一样,有很多细节需要注意 ciscn_2019_es_2 这题是栈迁移的题,先上exp 1 # encoding=utf-8 2 from pwn import * 3 4 context.log_level = 'debug' 5 leave_ret=0x08048562 6 sys = 0x8048400 7 p=process('./ciscn_2019_es_2') 8 p.re…