- 博客(15)
- 收藏
- 关注
RSS订阅原创 TLS:starctf2018_babystack
字段,单个线程的 canary 值就存放在这里,函数退出时就是从这里取值与canary做异或。所以我们还是精准覆盖,计算方法如下:我们输入数据的位置在0x7ffff77c0ee0,然后用。字段之间的偏移,因为我尝试过多覆盖一点,但是这样会发生错误,可能是其他数据不能覆盖吧?那么接下来我们就需要找到输入点与。漏洞函数:可以栈溢出。
2024-04-17 15:17:32
229
原创 NewStarCTF 2023 公开赛道 orw&rop
程序mmap了一段地址,权限是7,也就是可读可写可执行,我们把orw布置到这里就行啦,然后控制程序执行流(也就是rip指针)到这里就行啦。第一次输入,有格式化字符串漏洞,利用他来泄露libc基址(通过libc_start_main),和canary,方便后面利用栈溢出漏洞。第二次输入存在栈溢出漏洞,我们需要把orw的shellcode写进mmap的地址,那么我们就需要一个read函数,所以栈溢出就是去执行我们写的read函数,把读orw写进target addr。
2024-04-12 15:34:06
375
原创 OGeek2019 babyrop
向buf中输入值,read的返回字符串是包括了最后的"\0"的,所以假如我们输入”a“,那么V5=2;之后再将buf最后加上0;比较我们的输入buf与随机数s是否相等,相等就会推出函数;所以我们的第一个目标就是绕过strncmp;所以之后的事就是泄露write地址获取libc基址。而当a1=127时,C8<E7,不能达到栈溢出。因为没有程序system和/bin/sh。最后这个函数会返回buf[7]a1就是之前的buf[7]所以我们要构造尽量大的a1。这里才是真正的栈溢出。
2024-04-11 20:25:01
151
1
原创 CISCN 2019西南 PWN1 之.fini_array利用
数组中存在一些函数指针,程序在退出时,会调用这些指针,所以我们可以修改数组内容,可以达到控制程序的执行流。本题主要是因为我们只能执行一次格式化字符串,,没办法在一次执行中拿到shell,所以可以利用劫持数组,使程序再次执行main函数。用查看。
2024-04-11 20:11:47
380
1
原创 华为云+apache+php搭建网站
下载好Xftp软件后,在Xshell的工具栏中点击下图中红框里的图标,就能打开Xtfp。拖动文件就能实现传输啦。然后再浏览器中输入: 你的服务器ip/test.php ,就能看到自己写的网页啦。但是现在我们还不能在网络上访问我们的网页,应为还没有配置开放端口。然后重启你的apache服务,利用上面的命令,就不用我多说了。我们可以使用如下命令来启动、停止、重启apache服务。分别找个地方一键安装这两个组件就行。安装完apache后会自动生成。到此就安装完所有工具了。添加开放80端口规则。
2024-04-09 18:10:50
619
原创 格式化字符串漏洞之覆盖大数字
和这篇文章我主要是想说,利用格式化字符串漏洞来任意地址写,并且是将printf_got覆盖为system之类的利用手法。覆盖任意地址为一个很大的数字,这时我们只能一次写1字节或者2字节,因为程序的缓冲区可能没有4字节(也就是0xFFFFFFFF)那么大,容易爆;这里笔者还是建议一次覆盖一字节,这样更保险。有的师傅可能会迷糊,那如果我的第一个字节为0x22,第二个字节为0x11,在已经写了0x22的前提之下,我改怎么让第二字节覆盖为0x11呢?初次接触我也有这样的疑惑,这也就是我写这篇文章的原因。
2024-04-08 10:37:12
1150
1
原创 wdb2018 guess 之 environ的利用
通过libc找到environ地址后,泄露environ地址处的值,可以得到环境变量地址,环境变量保存在栈中,通过偏移可以得到栈上任意变量的地址。这个函数会打印__libc_argv[0],其实就是文件路径,我们只用找到__libc_argv[0]在哪,看文件地址。所以偏移值:0x7ffd2d95e6c8 - 0x7ffd2d95e560 = 0x168。
2024-03-30 23:08:20
316
原创 buu get_started_3dsctf_2016 关于内平栈和外平栈
main中get函数存在栈溢出:找到后门函数get_shell:a1和a2是栈上的参数,所以我们在栈溢出时提前设置好就能绕过,成功读取flag但是很遗憾,打不通远程。
2024-03-30 09:24:01
433
原创 ARM pwn 环境搭建和使用
qemu是一款可执行硬件虚拟化的虚拟机,与他类似的还有Bochs、PearPC,之前我们已经安装完了gdb-multiarch,现在来试试怎么调试程序。这个文件夹,该文件夹即对应刚安装好的arm32位libc库.到这里了,我们就能直接运行静态链接arm的程序了,拿的。但qemu具有高速(配合KVM)、跨平台的特性。例子:调试32位的静态程序。但是这里我们只用下载。
2024-03-30 09:20:07
367
原创 2021 长城杯 King in heap I
程序只有三个功能,add、free、edit,没有show,所以我们不能获取libc,那我们就利用_IO_2_1_stdout_攻击,泄露libc。不能修改got表了,因为开了Full RELRO。
2024-03-30 09:11:12
1517
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人