CTF[Pwn] i春秋学习笔记

最新推荐文章于 2022-04-06 19:12:58 发布
最新推荐文章于 2022-04-06 19:12:58 发布
阅读量343 收藏 1
点赞数
文章标签: 数据结构与算法
原文链接:http://www.cnblogs.com/rookieDanny/p/8593266.html
版权

buffer overflow

堆溢出、栈溢出、bss溢出、data溢出

例题:wellpwn\AliCtf 2016 vss\Hitcon 2015 readable\stkof\zerostorage

整数溢出

  • 无符号数和有符号的转换(MIMA 2016 shadow)
  • 整数加减乘除法,malloc(size*2)(pwnhbu.cn calc)
  • 整数溢出通常会进一步转换为缓冲区溢出、逻辑漏洞等其他漏洞

格式化字符串

  • printf sprintf fprintf 任意地址读写
  • 用来leak

释放后使用(Use-After-Free)

  • 释放掉的内存可能会被重新分配,释放后使用会导致重新分配的内存被旧的使用所改写
  • Double free就是一种特殊的UAF
  • 例题: Defcon 2014 Qual shitsco,AliCTF 2016 router,0CTF2016 freenote(double free),HCTF 2016 fheap(double free)

逻辑漏洞

  • 访问控制
  • 协议漏洞
  • 多线程竞态条件等(fakefuzz)

还原结构体、接口、类

理清程序的执行逻辑

熟悉常见的数据结构 链表、树、堆、图等各种加密算法


了解各个寄存器的作用

rsp/esp pc rbp/ebp rax/eax rdi rsi rdx rcx

栈用于保存函数的调用信息和局部变量


函数调用:call,rer

调用约定:

__stdcall,__cdecl,__fastcall,__thiscall,__nakecall,__pasccal

参数传递:取决于调用约定,默认如下

  • X86从右向左入栈
  • X64优先寄存器,参数过多才入栈

函数调用的过程

call func: push pc,jmp func

Leave : mov esp,ebp ,pop ebp

Ret :pop pc

栈溢出的保护机制

栈上的数据无法被当成指令来执行

  • 数据执行保护(NX/DEP)
  • 绕过方法:ROP

让攻击者难以找到shellcode地址 #不知道返回地址

  • 地址空间布局随机化(ASLR)
  • 绕过方法: infolleak,ret2dlresolve,ROP

检测Stack Overflow

  • Stack Canary/Cookie(Cookie泄露)
  • 绕过方法 infoleak

栈溢出的利用方法

现代栈溢出的技术基础:ROP(绕过NX和ASLR)

利用signal机制的ROP技术:SROP

没有binary怎么办: BROP(不是很常见)

劫持栈指针 :stack pivot #将栈指针劫持到其他区域

利用动态链接绕过ASLR:ret2dlresolve、fake linkmap

利用地址低12bit绕过ASLR:Partial Overwrite(低12位不会被随机化)

绕过Stack canary:改写指针与局部白能量、leak canary、overwrite canary

溢出位数不够怎么办:覆盖ebp,Partial Overwrite

现代栈溢出的利用技术ROP 代码复用技术

google关键字 Ret2libc,ROP

CTF中ROP常规套路

  • 第一次触发漏洞,通过ROP泄露libc的address(如puts_got),计算system地址 然后返回到一个可以重现触发漏洞的地方(main)再次触发漏洞。通过ROP调用system(‘/bin/sh’)
  • 直接execve(“/bin/sh”,[“/bin/sh”],NULL) 这个通常在静态链接比较常用

例题:Defcon 2015 Qual:R0pbaby AliCTF 2016:vss PlaidCTF  2013:ropasaurusrex

转载于:https://www.cnblogs.com/rookieDanny/p/8593266.html

weixin_30505751
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PlaidCTF CTF 2015 pwn160
Vccxx的博客
04-14 803
PlaidCTF CTF 2015 pwn160格式化字符串漏洞之前指针没有理解好,所以理解这题的攻击花了不少功夫,记录一下思路:程序中的sprintf第三个参数format由我们控制,存在明显的格式化字符串漏洞。这个程序给了一个全局buf,大小为1024字节,可以植入shellcode,主要的难点是如何将某个函数的返回地址(脚本中写的是make_response返回地址)改成buf中的地址。这里用
AliCTF 2016
weixin_30832143的博客
06-14 177
上上周参加了阿里的CTF,靠着最后绝杀队伍有幸拿到了国内第一名,也顺利进入了XCTF Final。把自己做的几个题简单写了下,发出来也算个总结吧。 PWN-FB 经典的null byte overflow加上unlink,覆盖下一个堆块SIZE字段的pre_inuse字段,free时造成后向融合,unlink时可以写msg全局管理结构(设为gl)指向&gl-3。这样通过...
TU-ctf-2016 pwn woO 分析记录
qq_35429581的博客
10-11 427
小动物很可爱的说? 放在ida中分析,发现已经有了获取flag的函数,不需要自己找system了,接下来就是如何控制程序的执行流程。 首先对程序功能作基本的分析: 新建动物时malloc一个结构体存放动物的信息,如果是熊,结构体的0x0-0x8存放0xdeadbeef,0x8-0x14存放动物的名字,0x14-0x20存放动物的type; 如果是其他动物,从0开始存放动物的名字。维护了一个
浅谈栈溢出漏洞利用技术——学习笔记
楠木种子的三亩地
01-27 1360
文章目录基础知识寄存器:重要寄存器栈:一种先进先出的数据结构函数调用栈溢出的保护机制栈上的数据被当做指令来执行让攻击者难以找到shellcode地址检测Stack Overflow(栈溢出)栈溢出的利用方法现代栈溢出利用技术基础:ROPCTF中ROP技术的常见套路利用signal机制的ROP技术(SROP)没有binary怎么办(BROP)BROP的目标BROP的条件劫持栈指针(Stack Piv...
线程PWN之gkctf2020 GirlFriendSimulator
seaaseesa的博客
07-25 1228
线程PWN之gkctf2020 GirlFriendSimulator 首先,检查一下程序的保护机制 然后我们用IDA分析一下,一个多线程程序 在线程里的delete功能,存在UAF 但是由于add功能次数限制,无法在线程里完成这个UAF的利用 在glibc中,线程有自己的arena,但是arena的个数是有限的,一般跟处理器核心个数有关,假如线程个数超过arena总个数,并且执行线程都在使用,那么该怎么办呢。Glibc会遍历所有的arena,首先是从主线程的main_arena开
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
CTF PWN 武器库题
12-12
在网络安全领域,CTF(Capture The Flag)是一种流行的竞赛形式,其中PWNPwn All The Things)类别涉及的是程序漏洞利用技术。"CTF PWN 武器库题"通常指的是这类竞赛中的一个问题,挑战者需要利用编程技巧来解决...
CTF PWN专用虚拟机-附件资源
03-05
CTF PWN专用虚拟机-附件资源
Pwn学习路线及学习笔记以及gem安装
10-15
Pwn学习路线及学习笔记 Pwn是计算机安全领域中的一个重要方向,旨在研究和学习 Binary Exploitation,CTF 等安全知识。本文将从Pwn学习路线及学习笔记入手,总结作者在学习Pwn过程中的心得体会和经验。 一、前期...
i春秋 CTF大本营 竞赛训练营 200+道题目答案
03-30
i春秋 CTF大本营 竞赛训练营 200+道题目答案 竞赛包括冬令营白帽黑客专项训练赛之春秋杯等 国内比较好的安全知识在线学习平台,把复杂的操作系统、工具和网络环境完整的在网页进行重现,为学习者提供完全贴近实际...
图片隐写术
热门推荐
Binwalker的博客
08-30 4万+
CTF题目中图片隐写题属于杂项的一部分,题目较为简单。本文大致梳理了下CTF比赛套路。
现代栈溢出利用技术基础之BROP和SROP
Sakura给爷pwn全场
12-31 247
https://www.anquanke.com/post/id/85831
Linux pwn入门教程(4)——调整栈帧的技巧
子曰小玖的博客
06-04 513
https://bbs.ichunqiu.com/thread-42534-1-1.html 在存在栈溢出的程序中,有时候我们会碰到一些栈相关的问题,例如溢出的字节数太小,ASLR导致的栈地址不可预测等。针对这些问题,我们有时候需要通过gadgets调整栈帧以完成攻击。常用的思路包括加减esp值,利用部分溢出字节修改ebp值并进行stack pivot等。 0x00 修改esp扩大栈空间 我...
PWN学习计划
m0_38029968的博客
01-12 636
PWN学习计划1月份学习计划学习目标学习方法 1月份学习计划 学习目标 1月份整体目标是学完Linux环境下包括但不限于栈溢出、格式化字符串、堆溢出等常见漏洞的成因、挖掘与利用方法: 栈溢出:ROP(ret2text,ret2shellcode,ret2syscall,ret2libc,ret2csu,ret2reg,BROP,ret2_dl_runtime_resolve,SROP,ret2V...
胖哈勃杯Pwn400、Pwn500详解
weixin_30262255的博客
07-03 153
概述 这次的胖哈博杯我出了Pwn400、Pwn500两道题目,这里讲一下出题和解题的思路。我个人感觉前两年的Pwn题更多的是考察单一的利用技巧,比我这有个洞怎么利用它拿到权限。但是我研究了一些最近的题目发现,Pwn题目逐步从考察利用技巧变为考察逻辑思维。 我这次的两道题目主要是围绕IO_FILE的利用展开,其次是注重考察利用思路。 Pwn400 漏洞 Welcome to life Crowdfu...
使用阿里云服务器搭建一道BROP的pwn
至臻求学,胸怀云月
02-26 1051
搭建题目环境 题目:HCTF2016 brop C代码如下: #include <stdio.h> #include <unistd.h> #include <string.h> int i; int check(); int main(void) { setbuf(stdin, NULL); setbuf(stdout, NULL); ...
二进制漏洞原理--整型溢出漏洞
qq_40410406的博客
11-13 1116
1
PWN-整数溢出
山高路远
04-06 913
整数溢出 基础知识 数据类型以及所取的范围(环境为64位下使用gcc-5.4) 类型 字节 范围 short int 2byte(word) 0~32767(0~0x7fff) -32768~-1(0x8000~0xffff) unsigned short int 2byte(word) 0~65535(0~0xffff) int 4byte(dword) 0~2147483647(0~0x7fffffff) -2147483648~-1(0x80000000~0xfffffff
[PWN] BUUCTF pwn2_sctf_2016(整数溢出+泄露libc)
空城惜梦的博客
06-05 699
[PWN] BUUCTF pwn2_sctf_2016解题分析漏洞利用payload分析payload1payload2 解题分析 按照惯例先checksec,开了nx保护和部分RELRO 接着运行文件,观察程序的运行逻辑,读入一个长度len然后把输入的字符,再打印输入的Len个字符 32位IDA打开文件,main函数调用了vuln() 发现对输入的长度len做出了限制,len不能大于32 当len>32后,程序将结束,这就导致无法直接溢出 进入get_n函数,发现get_n会接收a2个长度
ctf pwn 计算器
最新发布
10-05
引用是一段代码,它使用了Python的pwn库来...在学习CTF pwn攻击时,首先要有扎实的基础知识,包括C语言、汇编语言、Python编程、操作系统原理和Linux操作等方面的知识。这些基础知识将为你提供分析和理解程序的能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值