buuctf-pwn-rip buuctf pwn rip

程序保护情况检查 32位程序，堆栈不可执行 主函数： 左边又是一堆函数，file看一下 发现是静态链接，那ret2libc不用考虑了，接着看一下有没有int 80 那可以考虑利用rop链调用execve函数，用系统调用的函数参数是存在寄存器中的，但是本程序找不到/bin/sh的字符串，可以利用rea ......

先检查程序的保护情况 32位程序，堆栈不可执行 看ida 经典的菜单题，根据题目的uaf，判断该题有uaf漏洞，看一下delete函数 两次free没置空指针，确实存在uaf漏洞，再看一下add函数和print函数 add函数这里，就是创建了两个堆块，第一个堆块八字节数据中，前四个字节存着puts函 ......

先检查程序的保护情况 32位。堆栈不可执行，ida看一下代码逻辑 存在gets函数的栈溢出，偏移是0xc，然后再根据左边一堆函数，判断这个程序是静态编译，那这里的libc的打法就可以不用考虑，这里使用ROPgadget --binary rop --ropchain进行需要rop链 然后加上偏移就可 ......

每一天都要努力啊 2024-01-01 18:11:36 1.一眼就解密 原题：下面的字符串解密后便能获得flag：ZmxhZ3tUSEVfRkxBR19PRl9USElTX1NUUklOR30= 注意：得到的 flag 请包上 flag{} 提交 由小写字母大写字母和数字组成，尾部是’=‘，猜测为 ......

pwn2_sctf_2016 lib地址泄露 vuln() 程序对输入的v2做了限制首先要利用整数绕过if (v2 > 32)的限制 程序中没有现成的shell所以要通过printf泄露lib手动构造shell from pwn import * context.log_level = 'debug ......

PicoCTF_2018_rop_chain 函数参数劫持 整数型绕过 \x00绕过len() 函数vuln中存在栈溢出 flag是后门函数,只要满足win1 && win2和a1 = 0xDEADBAAD就可以得到flag 3.win1 & win2存在于.bss段上,但是可以利用win_func ......

数据包中的线索 直接base64编码，转化成图片格式 easycap 要用到什么wireshark，然后跟踪tcp就可以了，我不太会啊 被嗅探的流量 同理上面 基础破解 首先是最正常的基础爆破，然后base64编码就好了 misc40 脚本 misc51 要用脚本得出像素的数据，然后又按照顺序排列就 ......

异性相吸 先用010转化，用python编制成二进制，二进制又转十六进制，最后转文本 [AFCTF2018]Morse 首先进行摩斯密码解密，然后再进行十六进制转文本，记得将大写字母改成小写，最后得出结果，将adctf改成flag就可以了 Cipher playfair在线解密 [HDCTF2019 ......

二进制基础 程序的编译与链接 预处理：预处理指令（如#include和#define）替换成实际的代码 gcc -E hello.c -o hello.i 编译：由C语言代码生成汇编代码 gcc -S hello.i -o hello.s 汇编：由汇编代码生成机器码（Windows下是.obj文件） ......

下载题目zip，解压得到一张png图片 点击能够用电脑自带的照片软件打开，拖入tweakpng试试 猜测是图片的长度不对，用以下python脚本爆破一下： import zlib import struct import argparse import itertools parser = argp ......

鸡藕椒盐味 首先用海明校验码将正确的二进制得出来是110110100000，再用md5进行解码，得出两个flag，一个一个试咯，好嘛，第一个就对了 【MRCTF2020】古典密码知多少 打开就像猪圈密码一样的玩意儿，但是又不完全是，就发现还有一些其他的新鲜玩意儿，标准银河字母+圣堂武士+猪圈，解密出 ......

rar 需要密码，直接进行暴力破解，但是他说了是四位数字就将范围改成4，选择0-9就好了得出密码之后再打开就可以看到flag了 qr 扫码就可以了，看wp发现用工具qr research也可以 ningen 出来是一张照片，根据题目，将他进行压缩，然后打开发现需要密码，就和上面第一道题一样，得出密码 ......

实验6企业级网络构建与配置实现 思路来源是这里 不得不说这个哥们写的是相当nice！但是可能由于笔误敲错了一个命令。 本文基于这位老哥的实验思路，将OSPF替换成RIP。（因为某师专的机器好像跑不了OSPF） 拓扑图 设备密码 交换机密码 默认登录名： admin 默认密码： admin@huawe ......

实验6企业级网络构建与配置实现 思路来源是这里 不得不说这个哥们写的是相当nice！但是可能由于笔误敲错了一个命令。 本文基于这位老哥的实验思路，将OSPF替换成RIP。（因为某师专的机器好像跑不了OSPF） 拓扑图 设备密码 交换机密码 默认登录名： admin 默认密码： admin@huawe ......

首先查看一下附件的保护情况 可以看到，got表是可修改的状态 接着看主函数的逻辑 非常典型的菜单题，接着分析每一个函数的作用 unsigned __int64 create_heap() { int i; // [rsp+4h] [rbp-1Ch] size_t size; // [rsp+8h] ......

stack smash 造成原因 当进行栈溢出时，触发了__stack_chk_fail，从而拦截了该栈溢出，使程序崩溃 利用原理 我们首先了解一下__stack_chk_fail函数的构成 发现调用了__fortify_fail函数，那我们再看下这个函数 发现有两个参数，一个是msg(信息，也就是 ......

pwn 练习随笔 1. [SWPUCTF 2021 新生赛]nc签到 打开附件发现是 py 源码。 import os art = ''' (( "####@@!!$$ )) `#####@@!$$` )) (( '####@!!$: (( ,####@!!$: )) .###@!!$: `##@@ ......

拿到程序，先查一下保护状态 没开pie，接着看主函数代码逻辑 看到这里，因为程序开了canary，本程序没有可以泄露canary的方法，所以普通的栈溢出方法肯定打不了，这里可以考虑一下smash stack Stack smash 在程序加了 canary 保护之后，如果我们读取的 buffer 覆 ......

rip 静态分析 将附件拖入IDA进行分析： F5可以反编译查看源码 int __cdecl main(int argc, const char **argv, const char **envp) { char s[15]; // [rsp+1h] [rbp-Fh] BYREF puts("ple ......

RSA. 用RSA—Tool工具，把e转化为十六进制 丢失的MD5. python里面运行出来就可以了 Alice与Bob. 题目都已经给出了做法，首先进行素数分解，最后再利用md5的32位小写哈希 Windows系统密码. 看到ctf就先解密它，放在md5里面 信息化时代的步伐. 用工具中文电码在 ......

misc34. 根据题干，得知宽度要大于900，又看wp限制为1200，我就倒着试，试到了1123就可以得出flag了 misc35. 同理上面，改宽度就好 misc36. 一样的 misc37. 点开是动态的，但其实仔细看可以看见部分flag的，就放进gif里面，一帧一帧看，得出之后按顺序拼凑出来 ......

题目 分析 图中英文大意为：“我想你明白我的意思。emmm……也许你可以买一些栅栏~都是大写字母！！！” 图中密码为图形类密码。其中蓝紫色图形为传统猪圈密码，橙色为圣堂武士密码，黑色为标准银河字母密码。 分别解密得到： FGCPFLI RTU ASY ON 排成一行： FGCPFLIRTU ASYO ......

更新公告： 2023-7-5晚上21：12 已更新，对内容做了些调整。 调整如下： 添加解题步骤描述 添加专业名词描述 博主也是个PWN的入门者。PWN的入门不可能是无痛的。能做到的只是减少一点初学者的痛苦。这篇博客会长期维护，也会越来越好。 PWN是什么 CTF中PWN题型通常会直接给定一个已经编 ......

金盾杯 pwn awd 难点就是利用链表控制节点，理清其中的关系 分析程序 在初始化程序时会申请一个 0x10 的 chunk 作为一个头，在 add 中会申请三个堆块，第一个堆块就是用于存放第二个堆块的 id , size , address ，第二个堆块就是用于存放输入内容，第三个堆块就是存放第 ......

1. .fini_array劫持 上周打了一下金盾杯，算是第一次做非栈上格式化字符串的题，之前只在ctfwiki上看过一点。边学边做，比赛最后一个小时做出来了，爽了。 以金盾杯的题为例 1.1 2023金盾杯 sign_format 题目介绍：一道非栈上的格式化字符串，通过修改dl_fini数组里的 ......

第一章 1.1 认识程序 file、ldd 1.2 gdb调试 一、指令 1、start、run 2、断点 设置断点 b mian、b *0x123456 查看断点 info b、i b 让断点失效 disable b 序号 恢复断点 enable b 序号 删除断点 d 序号 步过、步进、步出 n ......

本文是i春秋论坛签约作家「Binary star」分享的技术文章，旨在为大家提供更多的学习方法与技能技巧，文章仅供学习参考。 大家好，我是Binary star，目前从事于公安行业，擅长Web、二进制和电子取证方向。能把网络安全技能运用在工作中，与我的职业结合起来做有意义的事，是非常自豪的，我希望通 ......

题目 分析 F12 查看源码，发现注释 <!--source.php-->，作为参数接入 url 提交，得到 php 代码： 稍做分析： <?php highlight_file(__FILE__); // 对当前文件进行 PHP 语法高亮显示 class emmm // 构造类emmm { pub ......

原题wp参考链接：https://www.cnblogs.com/karsa/p/13529769.html 这是CISCN2021 总决赛的题，解题思路是软链接zip 读取文件，然后伪造admin的session读取flag 回到buuctf的这个题： ssh连上去，查看 文件 /app/y0u_ ......

找到runOnFunction函数时如何重写的，一般来说runOnFunction都会在函数表最下面,找PASS注册的名称，一般会在README文件中给出，若是没有给出，可通过对__cxa_atexit函数“交叉引用”来定位。 ......