bin新手的iot pwn初试炼。

GOT表与PLT表 PLT表存储出现过的GOT表地址，GOT表指向全局函数所在的地址。 所以如果在运行时将GOT表中的某个函数改为目标函数并运行就可以达到访问shell的目的。 one_gadget 搜索某个版本的libc中的所有调用系统的函数，并返回成功条件。 HWS计划 emarm WP 读流程，发现第一步是字符串匹配，但是有长度参数，所以直接传入'\0'截断。 没有机会溢...

靶场random WP 怎么突然想起来写这个题了呢，因为人肉计算机。 没错，random那个题我也是人肉跑出来的。虽然我试过修改种子再生成随机数，但似乎效果并不好。于是鉴于每个数都在1~6之间，就用人工的方案了。方案跟那个comb题差不多，本地跑出来数据之后再用pwntool上传就可以了。 AD guess_num WP 这两个其实是同一个题，但是这次本着按溢出的方式做的原则重构了一...

cgpwn2 WP 这题本身没啥好说的，主要是不要被大大的pwn迷惑了，实际使用的是_system函数 另外，暂时未知替换return后为什么要先填充一个空字再填入commend参数地址，需要继续去读函数在栈上的具体模式，懂了再回来更。 半懂了，这个地方的空字是函数的返回值，但具体在栈上的实现下周再更吧。 另外，做这个题途中配置了vim的pwn相关代码复用，也算是有点收获

AD string WP 这个题戏好多啊 总而言之，终于摸到了格式化字符串漏洞的大门！ 具体步骤 checksec发现地址是动态的，die查壳发现是64位 运行一下全是字，然后发现诶，有secret,看来是好东西（当时应该想到是地址的）。 打开发现居然有secret地址输出诶！（当时应该想到是格式化字符串的） 4.然后读流程，基本上就是文字游戏，注意两点： 游...

“万物皆可溢出” 1.通过某个变量溢出获取值来控制流程 2.通过程序段溢出修改流程 具体流程 1.查函数列表看到后门函数地址 2.注意到这里的字符串函数只有strcpy，而调用的触发条件是用字符串长度赋值的int8变量大于3小于8 3.注意字越短越容易溢出，遂用长度溢出覆盖

Hello, CTF 注意sprintf函数的用法 sprintf(&s,format_string,p1,p2...) 将按照format_string，并填入参数pn得到的字符串输入s 备注：sprintf用法总结https://baike.baidu.com/item/sprintf/9703430?fr=aladdin maze 注意左右上下移动对应的操作数，以及x轴与...

靶场random WP 怎么突然想起来写这个题了呢，因为人肉计算机。 没错，random那个题我也是人肉跑出来的。虽然我试过修改种子再生成随机数，但似乎效果并不好。于是鉴于每个数都在1~6之间，就用人工的方案了。方案跟那个comb题差不多，本地跑出来数据之后再用pwntool上传就可以了。 AD guess_num WP 这两个其实是同一个题，但是这次本着按溢出的方式做的原则重构了一...