pwn
文章平均质量分 67
Ya0_
安全是相对的
展开
-
TLS:starctf2018_babystack
字段,单个线程的 canary 值就存放在这里,函数退出时就是从这里取值与canary做异或。所以我们还是精准覆盖,计算方法如下:我们输入数据的位置在0x7ffff77c0ee0,然后用。字段之间的偏移,因为我尝试过多覆盖一点,但是这样会发生错误,可能是其他数据不能覆盖吧?那么接下来我们就需要找到输入点与。漏洞函数:可以栈溢出。原创 2024-04-17 15:17:32 · 264 阅读 · 0 评论 -
NewStarCTF 2023 公开赛道 orw&rop
程序mmap了一段地址,权限是7,也就是可读可写可执行,我们把orw布置到这里就行啦,然后控制程序执行流(也就是rip指针)到这里就行啦。第一次输入,有格式化字符串漏洞,利用他来泄露libc基址(通过libc_start_main),和canary,方便后面利用栈溢出漏洞。第二次输入存在栈溢出漏洞,我们需要把orw的shellcode写进mmap的地址,那么我们就需要一个read函数,所以栈溢出就是去执行我们写的read函数,把读orw写进target addr。原创 2024-04-12 15:34:06 · 431 阅读 · 0 评论 -
OGeek2019 babyrop
向buf中输入值,read的返回字符串是包括了最后的"\0"的,所以假如我们输入”a“,那么V5=2;之后再将buf最后加上0;比较我们的输入buf与随机数s是否相等,相等就会推出函数;所以我们的第一个目标就是绕过strncmp;所以之后的事就是泄露write地址获取libc基址。而当a1=127时,C8<E7,不能达到栈溢出。因为没有程序system和/bin/sh。最后这个函数会返回buf[7]a1就是之前的buf[7]所以我们要构造尽量大的a1。这里才是真正的栈溢出。原创 2024-04-11 20:25:01 · 176 阅读 · 1 评论 -
CISCN 2019西南 PWN1 之.fini_array利用
数组中存在一些函数指针,程序在退出时,会调用这些指针,所以我们可以修改数组内容,可以达到控制程序的执行流。本题主要是因为我们只能执行一次格式化字符串,,没办法在一次执行中拿到shell,所以可以利用劫持数组,使程序再次执行main函数。用查看。原创 2024-04-11 20:11:47 · 432 阅读 · 1 评论 -
格式化字符串漏洞之覆盖大数字
和这篇文章我主要是想说,利用格式化字符串漏洞来任意地址写,并且是将printf_got覆盖为system之类的利用手法。覆盖任意地址为一个很大的数字,这时我们只能一次写1字节或者2字节,因为程序的缓冲区可能没有4字节(也就是0xFFFFFFFF)那么大,容易爆;这里笔者还是建议一次覆盖一字节,这样更保险。有的师傅可能会迷糊,那如果我的第一个字节为0x22,第二个字节为0x11,在已经写了0x22的前提之下,我改怎么让第二字节覆盖为0x11呢?初次接触我也有这样的疑惑,这也就是我写这篇文章的原因。原创 2024-04-08 10:37:12 · 1189 阅读 · 1 评论 -
CISCN 2022 华东北 blue
提取码: Ya0o。原创 2024-04-05 16:57:27 · 240 阅读 · 1 评论 -
wdb2018 guess 之 environ的利用
通过libc找到environ地址后,泄露environ地址处的值,可以得到环境变量地址,环境变量保存在栈中,通过偏移可以得到栈上任意变量的地址。这个函数会打印__libc_argv[0],其实就是文件路径,我们只用找到__libc_argv[0]在哪,看文件地址。所以偏移值:0x7ffd2d95e6c8 - 0x7ffd2d95e560 = 0x168。原创 2024-03-30 23:08:20 · 328 阅读 · 0 评论 -
buu get_started_3dsctf_2016 关于内平栈和外平栈
main中get函数存在栈溢出:找到后门函数get_shell:a1和a2是栈上的参数,所以我们在栈溢出时提前设置好就能绕过,成功读取flag但是很遗憾,打不通远程。原创 2024-03-30 09:24:01 · 488 阅读 · 0 评论 -
ARM pwn 环境搭建和使用
qemu是一款可执行硬件虚拟化的虚拟机,与他类似的还有Bochs、PearPC,之前我们已经安装完了gdb-multiarch,现在来试试怎么调试程序。这个文件夹,该文件夹即对应刚安装好的arm32位libc库.到这里了,我们就能直接运行静态链接arm的程序了,拿的。但qemu具有高速(配合KVM)、跨平台的特性。例子:调试32位的静态程序。但是这里我们只用下载。原创 2024-03-30 09:20:07 · 419 阅读 · 0 评论 -
SROP相关知识和例题
参考书籍:《CTF权威指南(PWN篇)》原创 2024-03-30 09:17:19 · 1850 阅读 · 0 评论 -
HarekazeCTF2019 baby_rop2
其实就是简单的64位ret2libc,但是有一些坑需要知道。原创 2024-03-30 09:13:57 · 311 阅读 · 0 评论 -
2021 长城杯 King in heap I
程序只有三个功能,add、free、edit,没有show,所以我们不能获取libc,那我们就利用_IO_2_1_stdout_攻击,泄露libc。不能修改got表了,因为开了Full RELRO。原创 2024-03-30 09:11:12 · 1535 阅读 · 1 评论