- 2024-09-28buuctf pwn jarvisoj_level01
首先,将下载的文件用checksec检查一下然后我们将其放入ida64中,按tap键查看源码点开vuln函数,看见有read,buf,发现buf占0x80空间,而,read里面有0x200,所以会有溢出。这里显示buf的地址为0x80+8,即136。然后有发现有system函数那就简单多了,它的起始地址为0x400596接下来写代码
- 2023-12-31jarvisoj_level3_x64
jarvisoj_level3_x6464位libc泄露漏洞函数中存在溢出使用溢出泄露libc构造payload获得shellrbppadding0x800x8pop_rdiret0x00000000004006b30x1poppop_rsiret0x00000000004006b1write_gotpop_rsielf.got['write']没
- 2023-12-30jarvisoj_level3
jarvisoj_level3函数参数劫持32位泄露libc32位程序的传参是栈的后四位开始,要注意的是,32位下write,put的ret位置是紧跟函数后面的payload1=b'A'*(0x88+0x4)+p32(elf.plt['write'])+p32(elf.sym['main'])+p32(1)+p32(elf.got['write'])+p32(4)这段代码中的p32(elf.sy
- 2023-11-29BUUCT_PWN8 jarvisoj_level2
jarvisoj_level2查看保护措施:canary没有,很好。栈可执行,这题也可以在栈上写shellcode。PIE都没开,从IDA看到的地址就是实际加载的地址了。IDA静态分析vulnerable_function里面read读了0x100字节,但是buf只有0x88字节,缓冲区溢出。那么思路很简单ida找'/bin/sh'
- 2023-08-08jarvisoj_fm
jarvisoj_fmBUUCTFpwn考点:格式化字符串漏洞格式化字符串,任意地址写漏洞将x写为4即可getshell,x的地址为0x0804a02c,调试可得输入的内容位于栈偏移11个单位处expfrompwnimport*context(os='linux',arch='i386',log_level='debug')#p=process('./pwn')p=remote(
- 2023-04-24pwn | jarvisoj_level3_x64
pwn|jarvisoj_level3_x64x64ret2libcexp:frompwnimport*fromLibcSearcherimport*context.log_level='debug'p_vuln=0x00000000004005E6p_main=0x000000000040061Ap_str=0x00000000004006DC#p=process('./level3_x64')p=
- 2023-04-04buuctf.pwn.jarvisoj_level2
这个题目,是缓冲区溢出检测一下Nocanaryfound:可以看出没有栈保护NOPIE:没有地址随机化然后分析题目这一次我在网上看到了不同的解法,但是基本思路是一致的主要看一下这个溢出ssize_tvulnerable_function(){charbuf[136];//[esp+0h][ebp-88h]BYREFsys
- 2023-03-27[BUUCTF]pwn-jarvisoj_fm
32位程序,开了NX和Canary,放入ida分析 查看system函数/bin/sh函数,看看可不可以ret2libc 第10行存在格式化字符串漏洞,我们可以利用它随意读写的特性让x=4x_
- 2023-03-13jarvisoj_guestbook2
jarvisoj_guestbook2学完最新的几个house系列感觉基础不太好就在学习一下栈堆,程序分析就是一个菜单题,有一个uaf,版本是2.23,而且可以修改got表,就打一个unlink,修改atoi的g
- 2023-03-12jarvisoj_level2_x64
jarvisoj_level2_x64定期刷pwn*21.检查仅仅只是个NX罢了2.找漏洞找到入口0x200,很厚道啊找到shell和system函数找到garget来给rdi传参路线仍然是栈溢出3.配
- 2022-12-10pwn | jarvisoj_level3
pwn|jarvisoj_level3x86ret2libc非常常规的ret2libcexp:frompwnimport*fromLibcSearcher.LibcSearcherimport*context.log_level='debug'elf=ELF('.
- 2022-12-03pwn | jarvisoj_tell_me_something
pwn|jarvisoj_tell_me_somethingx64栈溢出ret2text存在后门直接溢出跳过去就行了。唯一有点区别的就是这里面没有pushebp和popebp,所以只需要覆盖0x88就行了exp
- 2022-10-26jarvisoj_fm
【格式化字符串漏洞】【Write-up】BUUCTFjarvisoj_fm原题链接【格式化字符串漏洞】【Write-up】BUUCTFjarvisoj_fmchecksec查看程序架构ida查看程序伪代码构建exp
- 2022-10-26jarvisoj_level2_x64
【Write-up】BUUCTFJarvisoj_level2_x64原题链接【Write-up】BUUCTFJarvisoj_level2_x64checksec查看架构ida查看伪代码构建exp完整expchecksec查看
- 2022-08-29jarvisoj_level3_x64
InvolvedKnowledgeretlibcTheleakofthewritefunctionchecksecArch:amd64-64-littleRELRO:NoRELROStack:NocanaryfoundNX: