Queen_耳又又 - 简书

发简信

Queen_耳又又

8
关注
9
粉丝
56
文章
20031

字数
0

收获喜欢

IP属地：广东

Queen_耳又又

rop2（syscall函数的系统调用）
v4至v15仿佛是提示词，可以看出v4是提示字符串的开头，但因为IDA没有正确识别变量的类型，把提示字符串分成了v4~v15多个变量，v4的地址为bp-0x33，v15为bp...

1033 0 0
Queen_耳又又

ROP（ropchain）
check一下，发现只开了NX 拖进ida，发现里面有堆出现，但是和本题的关系不太大，题目提示用ROP，就直接系统调用吧。脚本一脚本二

1181 0 0

Queen_耳又又

homework（数组漏洞）
拖进ida，发现有system有binsh arr是0x34，离栈位置为14位

110 0 0
Queen_耳又又

pwn100
自己的脚本有问题，只能打印出read函数的地址，然后就有错误了： DynELF：普通方法：

178 0 0
Queen_耳又又

ret2_dl_runtime_resolve
正常操作：一：虽然可以直接调用write函数，但是这里使用栈迁移，将栈迁移到 bss 段来控制 write 函数。1.将栈迁移到 bss 段。2.控制 write 函数输出...

427 0 0
Queen_耳又又

stack2
check一下，发现开了NX和canary 拖进ida，发现是一个求平均数的程序，有system和/bin/bash 发现栈溢出，在j处，没有控制其小于100，所以栈溢出为0x84

522 2 0
Queen_耳又又

forgot
check一下，只开了NX。拖进ida 我们输入v2，v2大小为32，输入v2后就将指针v3覆盖为后门函数地址。脚本:

136 0 0

Queen_耳又又

warnup
没有附件，看来是盲打，先暴力枚举判断栈溢出长度。但是我不太会。错误脚本：网上找原题看到了熟悉的gets函数，我们需要输入v5，通常一看到这个函数就八成有缓冲区溢出漏洞，可...

419 0 0
Queen_耳又又

dice_game
check一下，开了NX和PIE

217 0 0
Queen_耳又又

lab9
check一下，发现只开了NX 查看栈脚本：

259 0 0
Queen_耳又又

lab8
check一下，开了NX和canary 拖进ida，发现格式化字符串漏洞，并且有两个flag，只要我们控制magic等于218 或者-87117812就行修改magic脚本...

250 0 0
Queen_耳又又

lab7
check一下,发现开了NX和canary 拖进ida，发现可以用格式化字符串，我们需要输入名字与密码，如果密码正确则得到flag，password是一个随机数，只要在第二次...

192 0 0

Queen_耳又又

lab6
check一下，开了NX 拖进ida 通过将ebp覆盖成我们构造的fake_ebp ，然后利用leave_ret这个gadget将esp劫持到fake_ebp的地址上先将栈...

177 0 0
Queen_耳又又

lab5
check一下，开了NX 拖进ida,没有system也没有binsh，只有一个输入与栈溢出漏洞，所以应该是ret2systemcall的题目，用rop，进行int0x80中...

334 0 0
Queen_耳又又

lab 4
check一下,发现开了NX 拖进ida，没有system和binsh 脚本：

103 0 0
Queen_耳又又

lab3
check一下，发现什么都没开拖进ida，没有system和binsh，所以我们直接调用shellcode即可脚本：出现了错误查看大佬的博客发现偏移应该时0x1c原因...

135 0 0
Queen_耳又又

level3
脚本

222 0 0

Queen_耳又又

int_overflow
要想利用到strcpy这一步，要么你输入的passwd长度>3 && <=8，要么使passwd的长度过长，而v3最大可以存的长度为255，所以直接在v3处造成整数溢出进入e...

695 0 0
Queen_耳又又

string
checksec一下，开了canary，开了NX

189 1 0
Queen_耳又又

guess_num
check一下，发现开了canary，开了NX，开了pie 发现var_30即gets函数中的v9刚好可以覆盖到seed，发现var_30在栈中占0x20 小知识点：关于ra...

425 1 0

暂无个人介绍