环境qemu1sudo apt install --install-suggests qemu gdb-multiarch1sudo apt-get install gdb-multiarch mips软件包12345<!-- 具备MIPS交叉编译gcc与MIPS程序动态链接库 -->sudo apt-get install gcc-mips-linux-gnusudo apt-g

调试win_server监听某个程序，虚拟机中remote连接，raw_input()等待windbg attach之后再发送数据。 常用命令：bp [exe_name]+offset:断在offset处bp pe_base+offset:断在offset处lm:查看加载的dll及pe地址空间u addr:查看addr处的代码g:运行到断点p:单步步过t:单步步入!address [target_

符号1234567.sympath // 查看当前符号查找路径.sympath c:\symbols // 将符号查找路径设为：c:\symbols.sympath+ c:\symbols // 将c:\symbols添加到符号查找路径集合中.reload // 为所有已加载模块载入符号信息.reload /f /v // f:强制立即模式（不允许延迟载入） v:详细模式.reload

WebClassic Childhood Game分析 题目描述 一个游戏 思路 F12查看源代码，游戏主要逻辑都写在core.js里，而且可以修改 打怪时对于HP，金币和经验的判定，修改Hero[“HP”] -= Damage;为Hero[“HP”] += Damage;就可以一路通杀了 通关游戏即可获取flag，中途需要钥匙的地方可以同理改下代码 需要注意的是打完魔王

分析 32位,保护全开 实现了一个简单的栈 pop push 思路 v6[0]是当前栈指针（esp），可以通过pop向后移动再push修改使其指向ret addr 可以通过pop泄露程序地址、栈地址和libc地址 泄露libc地址后ROP Exp12345678910111213141516171819202122232425262728293031323334353637

分析 没开PIE和RELRO 有system函数 v1为int，输入负数绕过对v1的检测，v5[v1]时将v1当成unsigned int用，因此可以修改v5后任意地址的值 返回地址下面有一个栈地址，可以当作sh的指针 思路 修改返回地址为ret，再call system，目的是越过返回地址和栈地址中间的那个栈帧 修改栈地址为sh，距离返回地址的偏移为0x24 Exp123

0x01 分析 没开PIE 可以leak任意地址指向的数据 存在格式化字符串漏洞 0x02 利用 首先leak got表指向的libc函数地址 利用格式字符串漏洞修改__malloc_hook位one_gadget 通过printf打印超过65536个字符来调用malloc 0x03 Exp123456789101112131415161718192021222324252627