HNctf pwn-ez_pwn

最新推荐文章于 2024-07-10 09:15:55 发布
最新推荐文章于 2024-07-10 09:15:55 发布
阅读量489 收藏 7
点赞数 12
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sweetxi/article/details/138852102
版权

这个题写了我不理解的地方,其他细节可以看看其他师傅的wp

有写的不对的地方欢迎师傅们指正

IDA看一下伪代码,可以看到两个read,还有printf函数,可以利用printf遇0截断,溢出ebp地址

然后利用栈迁移

                                                  

使用gdb看ebp和输入的字符s的位置

b main

r

一直n 运行到vul函数

然后si

然后继续n运行到read

输入aaaa,然后stack 24查看栈

ebp与ecx的距离是 f68-f30,这里应该是栈地址f5c还存了一个栈地址f68,这个f68才是要和ecx进行计算的地址

payload这里单独写一下,问了师傅,给我画了个图方便理解,这里也放上来!我刚开始一直理解不了为什么要s+0x10

其实就是栈迁移的时候,一个栈空间是4个字节,代码里的aaaa其实就在图上ebp-0x38这个位置,也就是输入的字符s的位置,上面也说了,用gdb调试出来ebp与ecx的距离是 f68-f30=0x38。再回到这个图上,一个格子是4个字节,那四个格子就是16字节,16字节十六进制就是0x10,因为我们要把bin/sh放到栈上面用,所以s+0x10就相当于是第一个格子跳到了第五个格子,payload构造的时候四个参数已经用了前4个格子,/bin/sh就用第五个格子,这么说很抽象但是比较好理解

payload第二行,至于为什么要填充0x2c个字节,因为要把最后的返回地址改成leave,ret,所以要先栈溢出,先溢出然后返回到s也就是ebp的地址,然后最后把返回地址改成leave ret

sweetxi
关注
  • 12
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
hnctf-pwn-[week1]
m0_64174759的博客
11-20 1616
hnctf pwn week1 WP,栈溢出,格式化字符串,32位,64位rop,ret2shellcode,可见字符串,格式化字符串
【PWN · heap | UAF】[HNCTF 2022 WEEK4]ez_uaf
Mr_Fmnwon的博客
03-02 661
UAF释放后重用,常见于free指针后指针未置Nullptr。这就导致了原本的功能块还可以使用,而新分配的功能块又附加了额外的功能。利用就在此产生。强烈建议手动画图!以至于第一次在大致写完遇到bug后,甚至仅通过画图审计代码来修改逻辑上的问题,成功实现利用!这说明利用思路是如此清晰。
ez_uaf复现
xiaolei0413的博客
04-18 829
之前在学习堆的时候中途懈怠了,导致进度止步不前一直未能理解堆题如何操作,俩个星期前重新开始学习堆的知识,在看完各种视频和博客后有了这一次的uaf题复现。
HNCTF——web方向部分题解
m0_60715541的博客
11-01 1514
这是这次分享的题解的清单,主要是web的,等我啥时候有时间更新一波杂项的题解。
[HNCTF 2022 WEEK2]ez_backdoor
沈理大学牲的博客
11-27 314
开启栈地址随机化。
格式化字符漏洞
IT_huanhuan的博客
05-25 1112
格式化字符串是由普通字符(包括%)和转换规则构成的字符序列。普通字符被原封不动地复制到输出流中。转换规则根据与实参对应的转换指示符对其进行转换,然后将结果写入到输出流中。转换规则由可选的部分和必选部分组成。其中只有转换指示符type是必选部分,用来表示转换类型。用 printf() 为例,它的第一个参数就是格式化字符串 :“Color %s,Number %d,Float %4.2f”然后 printf 函数会根据这个格式化字符串来解析对应的其他参数。
2022NCTF的部分wp及复现
v2ish1yan的博客
12-14 520
2022NCTF的部分wp
【2024】H&NCTF
qq_66013948的博客
05-22 1172
preg_replace 使用了 /e 模式,导致可以代码执行,而且该函数的第一个和第三个参数都是我们可以控制的。我们都知道, preg_replace 函数在匹配到符号正则的字符串时,会将替换字符串(也就是上图 preg_replace 函数的第二个参数)当做代码来执行最后得到flag。
PWN刷题解析
m0_73373164的博客
03-09 421
这个题涉及的知识点有点多毕竟保护全开,打开ida查看到sub函数里面的有个字符串溢出可以得到canary和基地址,用gdb因为开启了ple不能在main函数上下断点就只有下在printf上了然后调试你可以用stack查看到rbp上面的地址是****00可以猜到这个就是canary了因为canary一般情况下都是以00结尾的,canary保护主要是通过在栈下设置一个地址,返回是也必须带上那个地址不然就会触发保护,然后ple保护的话主要是通过每次修改.text、.data的地址。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
面试题 21:解释 Python 中的 help() 函数和 dir() 函数?
最新发布
专注于全栈开发领域
07-10 505
在Python中,help()和dir()是两个非常有用的内置函数,它们可以帮助开发者更好地了解Python对象和模块。
Python28-7.3 降维算法之多维缩放MDS
Argulo的博客
07-05 666
多维尺度分析(Multidimensional Scaling, MDS)是一种用于降维的统计技术,其目标是将高维数据嵌入到低维空间中,同时尽量保持原始数据中点与点之间的距离关系。MDS 的目标是将高维数据中的点嵌入到低维(通常是二维或三维)空间中,使得在低维空间中点之间的距离尽量接近原始高维空间中点之间的距离。这通过最小化一个损失函数(通常是应力函数)来实现,应力函数衡量的是原始距离和降维后距离之间的不一致性。:对原始数据中的距离或相似度进行非度量变换,以保留原始数据中的顺序信息,而不是精确的距离值。
pandas,dataframe使用笔记
分享计算机视觉,C++,嵌入式等知识。
07-05 490
dataframe属于pandas。
java占位符替换五种方式
weixin_61478518的博客
07-08 306
在业务开发中,经常需要输出文本串。其中,部分场景下大部分文本内容是一样的,只有少部分点是不一样。简单做法是直接拼接字段,但是这会有个问题。后面如果想要修改内容,那么每个地方都要修改,这不符合设计模式中的开闭原则,面向应该对扩展开放,对修改关闭。如何解决这个问题?先来看现实生活中的例子,个人信息填写。一般会要填写表格,已经定义好了姓名,性别,年龄等字段,只要填写对应的个人信息就好了。在程序开发中,我们会预先定义好一个字符串模板,需要改动的点使用占位符。
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值