2018强网杯之opm

最新推荐文章于 2022-03-21 20:41:43 发布
最新推荐文章于 2022-03-21 20:41:43 发布
阅读量1.7k 收藏
点赞数
分类专栏: 2018强网杯 CTF-PWN-堆溢出 CTF-PWN-栈溢出 文章标签: PIE 变量覆盖 修改got表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40850881/article/details/80058283
版权
本文详细分析了一个开启PIE保护的程序,探讨了如何通过变量覆盖泄露heap和程序地址,以及如何修改got表实现控制流程。首先,通过覆盖role[1]指针泄露heap地址,然后伪造role[3]以泄露func_ptr地址。最后,利用system与strlen的固定偏移修改strlen的got表,实现权限提升。
摘要由CSDN通过智能技术生成

0x01程序分析

程序开启了PIE,说明got表和plt表位置需要通过泄露得到。

题目一共可以存放下标为0-9一共10个role,游全局变量0x202130存放。Add函数添加role的管理结构,并将该结构指针存放于全局变量0x2020e0中。输入“S”则调用print的函数指针显示role管理结构所指向的内容。

Add函数,为每一个添加的role分配一个结构用于管理,并将该结构地址返回存放于全局变量0x2020e0中。


0x02利用思路

Add函数中第一个gets用来修改name指针存放的位置,第二个gets修改显示的内容。

  泄露heap地址

通过变量覆盖修改role[1]的指针为0x55xxxx0050,将role[1]的信息存放到0x55xxxx0050处,之后泄露heap地址的时候可以通过第二个gets覆盖v7为0x55xxxx0050读取name处存放的堆地址(gets在末尾会自动添加'\x00')。

add('b'*0x28+'qtsqtshh'*2+'b'
最低0.47元/天 解锁文章
_极目楚天舒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2018护网杯pwn题目task_gettingStart_ktQeERc的writeup
iqiqiya的博客
10-13 1294
下载后   本来想先用checksec 看看有啥保护 但是却发现执行不了(这里不太明白) 看到做出的人那么多  也就没有顾虑了 载入IDA   看到关键字符串  且有/bin/sh     双击进入    发现连续三个跳转之后   就是最终结果 直接F5看伪代码    看到read()之后    这不就是栈溢出嘛  覆盖v7 v8的数据达到条件即可获得shell 栈中顺序...
2018强网杯之silent2
极目楚天舒的博客
04-23 641
0x01分析行为按照正常思路添加、编辑、释放Add函数分配大小为16字节或大于0x7f字节的堆块,将堆地址放入0x6020c0的bss段内。Free函数释放堆块,但是没有将指针清零,导致doublefree。Edit函数修改堆块内容,修改长度不超过原来的长度。0x02利用点checksec检查发现可以对got进行写,很自然联想到用system函数地址覆盖strlen_got_plt,这样当调用E...
强网杯 2018 opm
Bill
05-23 1135
强网杯 2018 opm 前言     这篇WP是强网杯过去了很久之后才出的, 参考的是极目楚天舒师傅的博客, 这位师傅是一位CTF老赛手, 最近复出.由于图片中不能CTRL+F出文字, 本文章尽量避免使用图片, 除非必要. 程序运行 1. menu You were invited to beat one punch man! (...
强网杯2018_core
z1r0的博客
03-21 854
强网杯2018_core 具体可以看z1r0’s blog 题目拿到手就是一个tar包。解压 ➜ 2018强网杯-core tar -xvf core_give.tar give_to_player/ give_to_player/bzImage give_to_player/core.cpio give_to_player/start.sh give_to_player/vmlinux ➜ 2018强网杯-core ls core_give.tar give_to_player ➜ 2018强网
强网杯2018 pwn复现
weixin_30588729的博客
08-03 426
前言 本文对强网杯 中除了 2 个内核题以外的 6 个 pwn 题的利用方式进行记录。题目真心不错 程序和 exp: https://gitee.com/hac425/blog_data/blob/master/qwb2018/ 正文 silent 漏洞 在 free 的时候指针没有清空,而且程序没有 检测指针是否已经被释放 double free, 后面的 编辑功能也没有检验指针是否已经被 fr...
OPM总结输出.docx
06-26
OPM,全称为Organizational Project Management,是一种综合性的管理理念,旨在通过优化项目组合、项目集和单个项目管理,将组织的策略目标与实际操作紧密结合,以提升整体组织能力。OPM不仅仅是关于项目的管理,更...
OPM
03-19
OPM,全称为ObjectPermissionManager,是一个在C#编程环境中用于权限管理的框架。它旨在帮助开发者更加方便、安全地处理应用程序中的对象访问权限。在C#中,权限管理是确保程序安全性和防止未授权访问的关键组成部分...
OPM3模型简图
04-23
OPM3模型简图
CAD基于objectarx开发的OPM动态属性
12-26
标题中的“CAD基于ObjectARX开发的OPM动态属性”是指在计算机辅助设计(CAD)软件Autodesk AutoCAD中,利用ObjectARX SDK进行二次开发,实现对象属性管理器(Object Property Manager,OPM)的动态属性功能。...
object process methodology(OPM)编辑工具
01-16
object process methodology(OPM)编辑工具
2018强网杯pwn题复现
qq_46441427的博客
08-31 227
silent 漏洞位置: free后没有给指针置空,edit也没有检查chunk是否free 利用思路: 利用uaf把chunk进入fastbin中,构造三个单链来写free_hook然后getshell
linux_kernal_pwn 2018 强网杯 - core
yongbaoii的博客
09-01 314
四个文件,vmlinux不用提取了。 开了kaslr。 我们说内核的保护分四种,隔离、访问控制、异常检测、随机化。 随机化有两种,一个是kaslr,一个是fgkaslr。 在开启了 KASLR 的内核中,内核的代码段基地址等地址会整体偏移。 然后解压文件系统,看看init文件相关配置。 mkdir core cp core.cpio ./core cd core mv ./core.cpio core.cpio.gz #因为cpio是经过gzip压缩过的,必须更改名字,gunzip才认识 gu.
强网杯2018 Web签到
weixin_30916125的博客
03-29 433
Web签到 比赛链接:http://39.107.33.96:10000 比赛的时候大佬对这题如切菜一般,小白我只能空流泪,通过赛后看别人的wp,我知道了还有这种操作。 这个赛题分为3层 第一层 The Fisrt Easy Md5 Challenge 为MD5弱类型比较,这时候传入两个加密后开头为0e的不想等值就可以绕过了。 if($_POST['param1']!=$_POS...
2018强网杯部分writeup
snowleopard_bin的博客
09-20 2375
0x00 签到题 操作内容: 打开题目就看到flag FLAG值: flag{welcome_to_qwb} 0x01 Welcome 操作内容: |拿到一张图片:               放进Stegsolve中,一点点偏移图片,慢慢发现有字,offset到100时就能清楚看到 得到flag FLAG值: QWB{W3lc0me} 0x02 web签到 操作内容:...
第五届“强网杯”全国网络安全挑战赛 - 青少年专项赛 crypto
qq_52193383的博客
10-04 3078
文章目录CryptoCrypto1Crypto2 Crypto Crypto1 题目: n=967226697499512129137566782343586511841340684078124704344359166031568189175458414397790319438006342500321067641548043099355576785128586300482122046964714877621607449248380107464455109792027351231405365999757311
强网杯2018 部分web wp
Sp4rkW的博客
03-26 6530
咸鱼web手被大佬虐哭,做又做不来,只能跟着队友躺躺这样子,QWQ 题目质量很高,膜一波FlappyPig的大佬们~ 0x00 web签到 第一层: 特殊子串举例如下: 240610708、QNKCDZO、aabg7XSs、aabC9RqS 直接过 第二层: 传入param[] 数组型,error = error,过 第三层,传入MD5相等文件,附脚本如下: ...
2017强网杯 web部分题解
StriveBen的博客
03-25 5067
0x01 我是谁,我在哪,我要做什么? ##### 1.1 题目连接 http://106.75.72.168:2222/ 1.2分析 题目提示没有权限 Sorry. You have no permissions. burp抓包,看到cookie中有role GET / HTTP/1.1 Host: 106.75.72.168:2222 User-Agent: M...
强网杯部分Crypto题解
Risker
03-26 4024
周末打了两天强网杯,被大佬虐成狗,web狗做不出来去搞密码.... 爆出三道密码题,题解如下:题目名称:streamgame1操作:分析下载的压缩包,给了一个python脚本和key,key值16进制打开是12个数,脚本里是用flag值和mask等进行一系列加密算法,最终得到12个key文件里的数,而且flag内容为19位的二进制数字,即2^19种可能。所以写脚本爆破,每次按照给出的算法计算出12...
强网杯ctf pwn&re writeup (部分)
这里没人
06-04 7121
打了2天的强网杯,虽然一度冲进了前10。可惜最后的时候还是掉出了20名。最后只能无奈打出GG。其中的原因有很多,也不想多说了。 逆向溢出题3连发。我就只会那么多了Orz 先来一道re200 kergen 发送24位的字符串,主要是400B56处的检验函数。检验方法是这样的先是发送字符的第1 10 7 11 2 13 16 17位,中间插入43917202。然后MD5,然后转化成32位字符串形
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值