2018强网杯之opm

最新推荐文章于 2024-08-23 09:34:27 发布
最新推荐文章于 2024-08-23 09:34:27 发布
阅读量1.7k 收藏
点赞数
分类专栏: 2018强网杯 CTF-PWN-堆溢出 CTF-PWN-栈溢出 文章标签: PIE 变量覆盖 修改got表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40850881/article/details/80058283
版权
本文详细分析了一个开启PIE保护的程序,探讨了如何通过变量覆盖泄露heap和程序地址,以及如何修改got表实现控制流程。首先,通过覆盖role[1]指针泄露heap地址,然后伪造role[3]以泄露func_ptr地址。最后,利用system与strlen的固定偏移修改strlen的got表,实现权限提升。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x01程序分析

程序开启了PIE,说明got表和plt表位置需要通过泄露得到。

题目一共可以存放下标为0-9一共10个role,游全局变量0x202130存放。Add函数添加role的管理结构,并将该结构指针存放于全局变量0x2020e0中。输入“S”则调用print的函数指针显示role管理结构所指向的内容。

Add函数,为每一个添加的role分配一个结构用于管理,并将该结构地址返回存放于全局变量0x2020e0中。


0x02利用思路

Add函数中第一个gets用来修改name指针存放的位置,第二个gets修改显示的内容。

  泄露heap地址

通过变量覆盖修改role[1]的指针为0x55xxxx0050,将role[1]的信息存放到0x55xxxx0050处,之后泄露heap地址的时候可以通过第二个gets覆盖v7为0x55xxxx0050读取name处存放的堆地址(gets在末尾会自动添加'\x00')。

add('b'*0x28+'qtsqtshh'*2+'b'
最低0.47元/天 解锁文章
ORACLE EBS OPM标准功能培训资料-OPM成本.docx
05-20
### ORACLE EBS OPM标准功能培训资料-OPM成本 #### 一、OPM成本管理概述 OPM(Oracle Process Manufacturing)成本管理模块专为流程制造业设计,它能够实现以下核心功能: - **对发出货物的成本进行评估**:通过...
华为OPM15M电路图-电路方案
04-21
华为OPM15M是一款专为通信电源设计的设备,其电路方案是理解该设备工作原理和维护保养的关键。在本文件中,我们主要通过"Protel Schematic.pdf"和"FuOWU1Fmc8ZNn9bHn7kzLEGaqSI_.png"这两个文件来探讨相关知识点。 ...
2018pwn题目task_gettingStart_ktQeERc的writeup
iqiqiya的博客
10-13 1332
下载后   本来想先用checksec 看看有啥保护 但是却发现执行不了(这里不太明白) 看到做出的人那么多  也就没有顾虑了 载入IDA   看到关键字符串  且有/bin/sh     双击进入    发现连续三个跳转之后   就是最终结果 直接F5看伪代码    看到read()之后    这不就是栈溢出嘛  覆盖v7 v8的数据达到条件即可获得shell 栈中顺序...
2018 opm
Bill
05-23 1198
2018 opm 前言     这篇WP是过去了很久之后才出的, 参考的是极目楚天舒师傅的博客, 这位师傅是一位CTF老赛手, 最近复出.由于图片中不能CTRL+F出文字, 本文章尽量避免使用图片, 除非必要. 程序运行 1. menu You were invited to beat one punch man! (...
2018_core
z1r0的博客
03-21 912
2018_core 具体可以看z1r0’s blog 题目拿到手就是一个tar包。解压 ➜ 2018-core tar -xvf core_give.tar give_to_player/ give_to_player/bzImage give_to_player/core.cpio give_to_player/start.sh give_to_player/vmlinux ➜ 2018-core ls core_give.tar give_to_player ➜ 2018
2018之silent2
极目楚天舒的博客
04-23 704
0x01分析行为按照正常思路添加、编辑、释放Add函数分配大小为16字节或大于0x7f字节的堆块,将堆地址放入0x6020c0的bss段内。Free函数释放堆块,但是没有将指针清零,导致doublefree。Edit函数修改堆块内容,修改长度不超过原来的长度。0x02利用点checksec检查发现可以对got进行写,很自然联想到用system函数地址覆盖strlen_got_plt,这样当调用E...
2018 pwn复现
weixin_30588729的博客
08-03 447
前言 本文对 中除了 2 个内核题以外的 6 个 pwn 题的利用方式进行记录。题目真心不错 程序和 exp: https://gitee.com/hac425/blog_data/blob/master/qwb2018/ 正文 silent 漏洞 在 free 的时候指针没有清空,而且程序没有 检测指针是否已经被释放 double free, 后面的 编辑功能也没有检验指针是否已经被 fr...
ObjectARX2016 OPM面板全攻略.docx
01-17
【ObjectARX2016 OPM 面板全攻略】 ObjectARX 2016 是一种用于开发AutoCAD应用程序的API,它允许程序员深入到CAD软件的核心,创建自定义功能和特性。OPM(Object Property Manager)是AutoCAD中的特性面板,用于...
OPM总结输出.docx
06-26
OPM,全称为Organizational Project Management,是一种综合性的管理理念,旨在通过优化项目组合、项目集和单个项目管理,将组织的策略目标与实际操作紧密结合,以提升整体组织能力。OPM不仅仅是关于项目的管理,更...
2018pwn题复现
qq_46441427的博客
08-31 261
silent 漏洞位置: free后没有给指针置空,edit也没有检查chunk是否free 利用思路: 利用uaf把chunk进入fastbin中,构造三个单链来写free_hook然后getshell
linux_kernal_pwn 2018 - core
yongbaoii的博客
09-01 371
四个文件,vmlinux不用提取了。 开了kaslr。 我们说内核的保护分四种,隔离、访问控制、异常检测、随机化。 随机化有两种,一个是kaslr,一个是fgkaslr。 在开启了 KASLR 的内核中,内核的代码段基地址等地址会整体偏移。 然后解压文件系统,看看init文件相关配置。 mkdir core cp core.cpio ./core cd core mv ./core.cpio core.cpio.gz #因为cpio是经过gzip压缩过的,必须更改名字,gunzip才认识 gu.
2018 Web签到
weixin_30916125的博客
03-29 462
Web签到 比赛链接:http://39.107.33.96:10000 比赛的时候大佬对这题如切菜一般,小白我只能空流泪,通过赛后看别人的wp,我知道了还有这种操作。 这个赛题分为3层 第一层 The Fisrt Easy Md5 Challenge 为MD5弱类型比较,这时候传入两个加密后开头为0e的不想等值就可以绕过了。 if($_POST['param1']!=$_POS...
2018部分writeup
snowleopard_bin的博客
09-20 2539
0x00 签到题 操作内容: 打开题目就看到flag FLAG值: flag{welcome_to_qwb} 0x01 Welcome 操作内容: |拿到一张图片:               放进Stegsolve中,一点点偏移图片,慢慢发现有字,offset到100时就能清楚看到 得到flag FLAG值: QWB{W3lc0me} 0x02 web签到 操作内容:...
第五届“”全国络安全挑战赛 - 青少年专项赛 crypto
qq_52193383的博客
10-04 3244
文章目录CryptoCrypto1Crypto2 Crypto Crypto1 题目: n=967226697499512129137566782343586511841340684078124704344359166031568189175458414397790319438006342500321067641548043099355576785128586300482122046964714877621607449248380107464455109792027351231405365999757311
2018 部分web wp
Sp4rkW的博客
03-26 6597
咸鱼web手被大佬虐哭,做又做不来,只能跟着队友躺躺这样子,QWQ 题目质量很高,膜一波FlappyPig的大佬们~ 0x00 web签到 第一层: 特殊子串举例如下: 240610708、QNKCDZO、aabg7XSs、aabC9RqS 直接过 第二层: 传入param[] 数组型,error = error,过 第三层,传入MD5相等文件,附脚本如下: ...
联手:LongTimeAgo复盘分析络安全
IiwEngine的博客
09-19 230
LongTimeAgo题目是一道备受关注的CTF(Capture The Flag)题目,旨在考察参赛选手在络安全方面的技能和知识。该题目主要涉及密码学和逆向工程的内容,要求选手通过分析给定的程序,找到隐藏的漏洞并获取关键信息。该题目主要涉及到密码学和逆向工程的内容,需要选手通过分析给定的程序,找到隐藏的漏洞并获取关键信息。观察源代码中的加密函数,我们可以发现密钥的长度是可变的,它取决于输入明文的长度。观察源代码中的加密函数,我们可以发现密钥的长度是可变的,它取决于输入明文的长度。是当前明文字符的索引。
[ 2019]随便注
m0_56691564的博客
11-30 2981
该题作者在页面就查了这两个字段的内容,由于该题禁用select,因此我们可以用作者原本设定的查函数来帮我们查我们想要查找的内容。用rename把words改名为其他的名,把 1919810931114514的名字改为words,给words添加新的列名id,将flag改名为data。大意应该是过滤了select,绕过一下,好的发现绕过不了,不管是编码还是注释都不行,因此这个题使用堆叠注入。由show的作用可知,words内就两个字段,一个叫id,一个叫data。
2023
2202_75317918的博客
01-20 1370
当时看到这个题目 也是觉得易懂 并且可以解出来的但是数字实在是过大了兄弟题目意思是计算2^27的阶乘,并获取得到每一位数的数字之和,flag即为该数字的sha256编码2^27为134217728gmpy2包是支持大数运算的,故利用其fac方法进行尝试,在等待一段时间后可以得到对应的结果参考了其他师傅的wp得到运行结果为:4495662081然后利用一个在线工具进行sha256加密即可得到flag。
第七届-PWN-【WTOA】
最新发布
llovewuzhengzi的博客
08-23 1097
由于指令集和运行时环境本身与web场景并不绑定,因此随着后来的发展,WebAssembly指令集出现了可以脱离浏览器的独立运行时环境,WebAssembly的用途也变得更加广泛。相比于浏览器的运行时,wasmtime是一个独立运行时环境,它可以脱离Web环境来执行wasm代码。根据字符串定位时发现没有引用的,后来发现是通过偏移的,发现第 3 个参数原来是 .rodata.wasm 段内的偏移值。起改为flag的偏移,然后show可以泄露处flag,当然长度不够,再把size改大就行。
Oracle EBS OPM成本管理教程
"ORACLE_EBS_OPM标准功能培训资料-OPM成本" Oracle EBS (Enterprise Business Suite) 的OPM (Oracle Process Manufacturing) 成本模块是专为流程制造业设计的,旨在提供全面的成本管理解决方案。这个模块允许企业对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值