pwn74 噢？好像到现在为止还没有了解到one_gadget? one_gadget one_gadget 是libc中存在的一些执行 execv("/bin/sh",NULL,…

2024年8月训练题 fd fd 全称为 file descripter ，又叫做文件描述符。它用一个非负整数表示，指向由系统内核维护的一个 file table 中的某个条目（ entry ），后者…

pwn75 第十次看栈迁移，终于有了点感觉 栈迁移 当题目限制输入的空间，只能覆盖到rbp，ret_add 时，一般会采用栈迁移 原理 栈迁移关键是利用leave；ret指令： leave ====&…

Canary 检查保护，开了代码执行保护和Canary 查看程序，可以发现在main函数中的read是从 rbp+0 的位置开始读的，因此我们可以通过劫持rbp到 __stack_chk_fail 函…

pwn52 迎面走来的flag让我如此蠢蠢欲动 检查保护，只开了代码执行保护 查看程序，在ctfshow 函数中存在栈溢出，存在后门函数。看了网上的wp，有两种做法，这里都将进行尝试 第一种是非预期打…

pwn53 再多一眼看一眼就会爆炸 检查保护，32位程序只开了代码执行保护 但是观察程序我们可以看见存在后门函数，并且在ctfshow函数中有一个模拟Canary的循环，与真实的Canary不同的时这…

湘岚杯2025 ret2text签到 检查保护，64位无保护 查看程序，发现后门函数。栈溢出劫持程序流到后门函数 from pwn import * from pwn import p8,p16,p3…

pwn45 32位 无 system 无 "/bin/sh" 检查保护，只开了代码执行保护 检查程序，发现溢出点 ssize_t ctfshow() { char buf[103]…

pwn46 64位 无 system 无 "/bin/sh" 和上一题大差不差，是64位的ret2libc from pwn import * from LibcSearcher …

pwn47 ez ret2libc 检查保护，只开了代码执行保护，32位程序 观察主函数，几个函数和 /bin/sh 的地址都告诉了，直接进入到ret2libc的第二部分，puts是我们的老朋友了，也…