note-service2(xctf)

最新推荐文章于 2023-01-15 21:41:33 发布
最新推荐文章于 2023-01-15 21:41:33 发布
阅读量544 收藏
点赞数 1
分类专栏: # xctf(pwn高手区) CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43868725/article/details/107886949
版权
本文详细介绍了XCTF比赛中note-service2程序的漏洞利用过程,包括程序保护与流程分析、利用步骤及exp实现。重点讨论了数组越界导致的任意地址写入,以及如何通过修改.got.plt表执行shellcode来绕过NX保护,最终实现远程代码执行。
摘要由CSDN通过智能技术生成

0x0 程序保护和流程

保护:

protect

流程:

main()

main

real_main()

real_main

选择1可以新建一个note,选择2和3没有实现,选择4可以删除note,选择5可以退出程序。但是在选择1的时候没有对数组的边界进行考虑。

add_note

0x1 利用过程

1.虽然这个程序也存在UAF漏洞但是由于输出和修改功能没有实现所以能利用的角度基本没有,但是数组越界可以任意地址写。

2.可以发现相对于数组的低地址处有.got.plt表,并且.got.plt表是有读写权限的。所以可以修改.got.plt表

heap_pointer

got_plt

可以得到偏移就是函数地址减去数组地址再除以机器字长(8)

3.结合题目中的nx保护没有开启,可以将shellcode写到堆上。又因为题目没有任何方式泄露地址,所以只能通过系统调用完成需要的操作,而execve()函数是通过系统调用实现的,通过反编译libc可以查找到调用号。

execve

因为程序的限制只能向堆上写入8个字节,但是最后一个字节被清零了。所以只能控制7个字节。

read_str

又因为堆的大小是固定的且长度不够,因此必须预留一些字节留作跳转,并且在堆上的跳转属于短跳(jmp short)。可以在程序中找到一些短跳的字节码。

最低0.47元/天 解锁文章
whiteh4nd
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
堆指针越界&堆上布置shellcode|攻防世界pwn进阶区 note-service2
Kni9hT's Blog
03-18 714
文章目录前言思路分析0x00.检查保护机制0x01.查看程序功能0x02.ida查看逻辑0x03.利用思路利用过程0x00.选一段shellcode布置在堆上0x01.计算jmp short指令要跳多少字节0x02.shellcode转换为asm格式0x03.通过64位传参机制把&("/bin/sh")传到rdi0x04.计算free的got地址和堆数组静态地址的距离0x05. 尝试写ex...
XCTF note-service2
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-09 862
查程序保护机制 开启了PIE和CANARRY 没有开启NX,堆栈具有可执行权限 IDA64载入程序,查看main函数 重点分析sub_E30(); 经过分析得知sub_C56()是一个输出提示信息的函数,sub_B91()是获取用户输入值的函数 sub_DC1();sub_DD4();这两个函数的功能未完成 仅实现了sub_CA5();sub_DE7();这两个函数,这两个函数实现了添加和删...
攻防世界note-service2
像初雪一样自由洒落
02-20 694
来源:CISCN-2018-Quals 参考: 1.https://blog.csdn.net/qq_42728977/article/details/103914342 2.https://blog.csdn.net/seaaseesa/article/details/103003167
ADworld pwn wp - note-service2
fa1c4的blog
06-26 131
qword_2020A0[v1] = malloc(result);存在数组越界漏洞, 可以借此将特定的指针写到got表里 写入content的处理函数, 最后一个字节会赋值为0, 所以可用的空间是7字节 选择delete会触发free() 整合已有信息: (1) 数组越界漏洞 (2) 一个chunk可以使用7字节 (3) delete选项可以free相应的chunk 利用思路: (1) 申请多个chunk, 分段写入shellcode (2) 利用数组越界修改free的got表项为shellc...
[攻防世界]noteservice2
最新发布
m0_55906008的博客
01-15 293
一道基本的堆题
XCTF-2019-tfboys:XCTF 2019最终网络任务“ tfboys”的源代码
05-18
XCTF-2019-tfboys tfboys又名TensorFlow Boys 部署(Python3) pip install -r requirements.txt cd web3 python run.py 迪尔斯 web3/model/default/ : pre-trained LSTM model. exploit/exploit.ipynb : codes...
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
攻防世界-PWN进阶区-EasyPwn(XCTF 4th-WHCTF-2017)
weixin_44145820的博客
03-04 1939
这题其实不算难,不过漏洞比较隐蔽,需要细心才能发现 题目分析 checksec: RELRO只是部分开启,考虑覆写GOT表 main: echo: 在该函数中存在一个溢出: v2的大小为1000(0x3E8),而我们的输入最大为0x438(输入缓冲区大小为0x400),如果我们的输入大于0x3E8,就会覆盖了v3的内容(%s),而%s是snprintf在向v2写入数据时格式化写入的数据的,如...
pwn-100(xctf)
weixin_43868725的博客
05-24 417
0x0 程序保护和流程 保护: 流程: main() sub_40068E() sub_40063D() 通过程序流程我们可以看出在sub_40068E()调用sub_40063D()时发生了栈溢出。 0x1 利用过程 1.这个程序没有system()函数,也没有"/bin/sh"。但是我们程序运行的时候需要libc。而libc中有我们需要的system(),所以我们只需要确定libc的基地址就可以知道system()。这里给出两种方法获取libc的基地址。第一种是pwntools自带的DynELF
NoteServer服务
12-19
用于本地文件记录和查找,支持markdown和富文本服务,支持快速查询。本地存储无需联网。
攻防世界-note-service2-Writeup
SkYe's Blog
05-15 377
note-service2 [collapse title=“展开查看详情” status=“false”] 考点:堆上shellcode 保护情况:NX 保护关闭 Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX disabled PIE: PIE enabled RWX: Has RWX segments 漏洞函数:存放堆指针的数组可越界存放。也就是堆指针可放置
计算机网络note_传输层服务
人非生而知之者
05-11 333
1、传输层服务 1.1、什么服务? 为不同主机上的应用进程提供逻辑通讯; 发送方:将应用层的报文分成报文段,交给网络层; 接收方:将报文段重组成报文,交给应用层; 1.2、具体服务项目有? TCP 多路复用、解复用; 建立连接; 拥塞控制; 流量控制; UDP 多路复用、解复用; 2、传输层和网络层的对比 网络层:主机间逻辑通讯; 传输层:进程间逻辑通讯,对网络层的服务进行加强(数据丢失、顺序混乱、加密); 在传输层的层面,对于网络延迟和带宽无法优化; ...
【PWN系列】攻防世界 pwn note-service2题目分析
Vicl1fe的博客
10-21 472
主要题解:https://blog.csdn.net/seaaseesa/article/details/103003167 这篇文章写已经是不错的了,这里主要写一下我对上面那篇文章的理解 1、以下code0到code3的长度都是七个字节。不足七个字节的用\x90填充。90机器码所代表的汇编指令是nop。因为我们跳转的时候用的是相对偏移跳转,所以必须要填充为七个字节,否则偏移要重新计算了。 code0 = (asm('xor rax,rax') + '\x90\x90\xeb\x19') #rax =
CTF-PWN-note-service2 (堆中shellcode执行)
SuperGate的博客
11-18 563
checksec Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX disabled PIE: PIE enabled RWX: Has RWX segments 发现没有开启NX,因此很有可能是要我们将sh...
数组越界(DAY 30)
学恒的博客
04-09 994
文章目录1:引例1:2:数组越界原因:错误2:总结: 1:引例1: 推荐文章1 推荐文章2 2:数组越界原因: 可以看到,我们reverse的a+6 超出了定义的数组的长度5 ,就出现了一个相对来说很大的数字,32767 这是多少? 2的15次方等于32768 32767就等于2^15 -1 为什么减去1? 在计算机组成原理中,二进制数的范围就是-2的15次方到 +2的十五次方-1。因为中间有一个0。从这里我们又可以知道,为什么是15次方? 看来在该编译器中,数组的产长度是 4 个4位
攻防世界PWN之note-service2题解
seaaseesa的博客
11-10 2796
note-service2 首先看一下程序的保护机制,注意,PIE是开启的,这个checksec检测PIE有时候不准确。不过,我们看到NX是关闭的,说明堆栈的数据可以被当做指令执行 然后,我们用IDA分析一下,发现是一个很简单程序,并且只有添加和删除功能,其他功能未实现 创建这里,有三处值得我们注意 创建的堆空间大小最多为8字节 保存堆指针的数组下标可以越界 既然数组下...
CTF数组越界漏洞内存布局简析
BadRer的博客
06-03 1816
今天为大家带来一篇关于数组越界漏洞原理的分析,并且结合CTF中的实例给大家讲解下。由于自己也是第一次接触,如若有不到位的地方,还希望各位评论补充我会及时的改正。总体来说数组越界其实和栈溢出差不多。。。 推荐一篇文章 http://blog.csdn.net/human_evolution/article/details/40752047 基本上把数组越界的原理给讲清楚了。在这里呢,我主要是结合
CISCN PWN签到题 task_note_service
Bill
05-02 1660
序言 比赛中这道差那么一点点就做出来了 程序运行 1.menu ---------menu--------- 1. add note 2. show note 3. edit note 4. del note 5. exit your choice>> 2. add 1. add note 2. show note 3. edit note 4. del...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值