pwn
醉等佳人归
这个作者很懒,什么都没留下…
展开
-
pwn-greeting-150
1.题目1.1.保护机制canary+nx1.2.关键代码main函数getnline函数2.思路重点1:很明显是个格式化字符串漏洞,之前说过格式化字符串可以将任意一个即将调用的函数的got覆盖成我们想要调用函数的plt,这里我们看了一遍,可以将strlen改成system,刚好输入参数/bin/sh\x00可以getshell重点2:可是我们发现这个程序是没有循环的,就是说发生格式化字符串漏洞后程序就结束了,调用不到getnline,为了让程序循环,我查询资料后发现程序开始时会遍历in原创 2021-09-10 18:57:48 · 279 阅读 · 0 评论 -
pwn-welpwn
1.题目1.保护机制开启nx2.关键代码主函数echo函数2.思路重点1:可以看到栈溢出漏洞,但是echo函数代码显然限制了ROP链中有\x00的出现,但是我们发现echo函数栈非常小,导出我们溢出可以溢出到主函数的buf缓冲区中,而且主函数的buf是不受\x00影响的,所以我们先使用pop覆盖echo函数的返回值,然后在主函数的buf中执行shellcode重点2:这次试用了LibcSearcher库来完成函数地址泄漏from pwn import *from ctypes imp原创 2021-09-08 22:25:30 · 250 阅读 · 0 评论 -
pwn-warmup
1.题目1.1.保护机制不详1.2.关键代码没有提供代码我们使用nc连接之后发现给了一个输入点和一个地址2.思路重点1:没有给代码,说明要我们使用fuzz重点2:猜测给的地址是漏洞利用函数地址,应该可以通过栈溢出去调用,重点3:所以我们fuzz的参数应该有两个,第一个是num即发送的字符串,第三个是flag即跟随的payload函数(0代表不跟随,1代表32位,2代表64位)from pwn import *from ctypes import *#context(arch="a原创 2021-09-08 20:22:41 · 191 阅读 · 0 评论 -
pwn-Recho
1.题目1.保护机制开启nx2.关键代码2.思路重点1:看出来是个很简单的栈溢出,但是第一个问题是这个循环是个死循环,如果直接使用close()函数程序会直接退出,查询资料后发现pwn库中提供了shutdown()函数,他可以关闭IO流,即让循环正常退出重点2:既然使用shutdown函数,我们必须一次性将payload发送过去,这就导致我们不能使用内存泄漏来泄漏system函数,查询了一下字符串发现有一个flag,所以我们考虑使用系统调用完成,alarm,open,read,write函数的原创 2021-09-08 19:54:52 · 259 阅读 · 0 评论 -
pwn之stack2
1.题目1.保护机制开了canary和nx2.题目简单来说就是一个计算器,支持以下功能:2.思路重点1:问题出在第三个功能上,第三个功能是支持修改数组中的元素的,但函数没有进行index判断,导致我们通过这个偏移写任意数据到任意偏移地址,即可以覆盖函数返回地址重点2:程序中给了一个后门函数,但是运行后发现没有/bin/bash,所以我们要自己调用system,参数的话直接使用/bin/bash中的sh即可from pwn import *context(arch="i386",os=原创 2021-09-07 19:10:50 · 364 阅读 · 0 评论 -
pwn之pwn-100
1.题目1.1.保护机制没开canary和ASLR,只开了NX1.2.关键代码2.思路很明显就是一个简单栈溢出漏洞,但是发现没有提供lib文件,导致我们不能直接去泄漏puts加载地址然后计算偏移得到system的地址,pwn库提供了一个通过泄漏地址遍历lib库d = DynELF(leak,elf=elf)system_addr = d.lookup('system','libc')leak参数是一个函数,函数参数为地址,地址由DynELF提供,函数功能就是通过参数地址泄漏出该地址指原创 2021-09-06 20:02:07 · 430 阅读 · 0 评论 -
pwn之Mary_Morton
文章目录1.题目1.1.保护机制1.2.关键代码2.思路13.思路24.思路31.题目1.1.保护机制NX和canary1.2.关键代码两个函数,一个格式化字符串漏洞,一个栈溢出漏洞2.思路1由于开启了canary机制,导致栈溢出不能轻易利用,但是由于有个格式化字符串的存在导致canary的泄漏,所以可以通过泄漏来进行栈溢出漏洞利用。重点:计算canary的偏移的时候记住不是从栈中buffer开始记录的,buffer上面还有printf的参数代码:from pwn import *原创 2021-09-03 20:01:15 · 239 阅读 · 0 评论