- 博客(13)
- 收藏
- 关注
RSS订阅原创 Pwn篇-BUUCTF[第五空间2019 决赛]PWN5-格式化字符串漏洞
BUUCTF[第五空间2019 决赛]PWN5简单的格式化字符串漏洞利用题目程序保护IDA分析程序逻辑如下:unk_804c044为bss段地址,存储上面生成的4字节随机数。只要随机数和我们输入的passwd相等,则调用system("/bin/sh")程序中有明显的格式化字符串漏洞,可以任意地址读写。动态调试GDB调试程序,计算偏移:数得偏移为9,可以使用%9p来打印"aaaa"所在的地址可以使用pwnlib中fmtstr_payload来自动构造payload,使用方法如
2021-04-10 21:25:17
268
原创 pwn篇:攻防世界进阶welpwn,LibcSearcher使用
攻防世界welpwn这题主要是考无Libc泄露地址,在没有Libc的情况下,可以使用LibcSearcher进行动态匹配,匹配完成后会给出选项,选择libc的版本即可。如果不知道版本可以一个个试。安装LibcSearchergit clone https://github.com/lieanu/LibcSearcher.git文件有点大,100多Mb配置LibcSearcher,可以直接install,会自动buildcd LibcSearcherpython setup.py instal
2021-02-10 13:45:42
861
原创 Reverse篇:攻防世界elrond32(暴力破解)
攻防世界elrond32(暴力破解方法)IDA分析GDB调试爆破设置参数,因为是爆破,参数随便填在call判断函数处下断跟进程序观察发现此处在进行字符对比,al 如果不等于 0x69,则执行退出代码。将eax设置为 0x69,使跳转成功。0x69 在ASCII字符表中是字符 " i ",那么要求输入的参数第一位就是 " i " 。程序会进行下一个字符的判断,循环上面的方法,得到最后的字符串为 " isengard " 。程序判断完成后会打印出 " Access granted
2021-02-05 22:38:42
367
原创 Revers篇:攻防世界reverse进阶re2-cpp-is-awesome
攻防世界reverse进阶re2-cpp-is-awesomeIDA分析很简单的一个程序程序流程分析首先检查参数,参数少于2就退出,并提示:Usage: ./re2-cpp-is-awesome flag,也就是要给main传参。然后获取到参数,在堆申请了一段空间,大小为参数长度+1,并把参数放进去。把begin赋值给v11,把end赋值给v14进入while循环,第一个if判断是否到字符串结尾,到了就break退出。第二个 if 判断,v9是否等于data段指定的字符,不等就退出。这里
2021-02-05 12:58:34
419
原创 PWN篇:攻防世界PWN-100
攻防世界进阶PWN-100做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。查看保护IDA分析主函数sub_40068esub_40063d思路分析sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64]当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
2021-02-04 23:17:50
401
原创 pwn篇:32位及64位无PIE保护ROP方法
32位和64位ROP方法先记录一下,暂时还没有学会绕过PIE源码#include<stdio.h>#include<unistd.h>void vuln_func(){ char buf[128]; read(STDIN_FILENO,buf,256);//溢出点}int main(int argc,char* argv[]){ vuln_func(); write(STDOUT_FILENO,"Hello world\n",13);}32位编译
2021-02-03 22:59:16
1287
原创 pwn篇:随机数种子
攻防世界pwn进阶:dice_game程序分析:64位elf可执行文件、libc.so.6库文件保护:除了Canary,其他保护全开IDA分析程序逻辑创建一个随机数种子,为当前时间首先输入名字,长度为55的数组。程序对输入做了处理,当大于49长度时,将最后一个赋值为“0x00”,也就是对字符串长度进行了限制,这个函数没什么问题。打印输入的字符串,这里也没什么问题。调用了srand函数,seed是输入名字时字符串第0x41个元素,也就是该值可控。SUB_A20函数对随机数进行了处理,
2021-02-02 14:23:04
1057
原创 volatility内存取证基本命令
环境:Kali Linux自带(若没有安装下一步安装)Linux安装:git clone https://github.com/volatilityfoundation/volatilityWindows安装:http://downloads.volatilityfoundation.org/releases/2.6/volatility_2.6_win64_standalone.zipMac OS安装:http://downloads.volatilityfoundation.org/re
2021-02-01 12:36:37
701
原创 PWN篇:ret2libc
PWN篇:ret2libc源码#include void vuln_func(){ char buf[128]; read(STDIN_FILENO,buf,256);}int main(int argc,char* argv[]){ vuln_func(); write(STDOUT_FILENO,"hello world!\n",13);}很明显vuln为溢出函数编译gcc -m32 -fno-stack-protector -no-pie -z execstack tes
2021-01-28 21:56:03
434
原创 2020-12-31
PE解析:修改重定位表我的目的是:改掉DLL的ImageBase,修复重定位表中的地址,这个DLL还能用。看了网上很多资料,大都是写得如何去解析重定位表中的各条数据,没有说怎么去修改,修改了以后DLL还能用的问题。我也是查阅了很多资料,弄了一天,把经验总结一下。(本人小白,大佬请无视)首先得熟悉重定位表结构:1.重定位表位于NT_Header的OptionalHeader(可选头)的DataDirectory结构体的第6个成员(这么说有点绕 )。2.结构体定义如下:IMAGE_DIRECTORY
2020-12-31 19:52:47
203
原创 C实现PE结构解析
C实现PE结构解析其实就是照着PE结构图抄过来,定义结构体,用结构体指针访问,挨个打印出来。这里随便用了个if_else的win32控制台程序。只写了DOS头、标准头、节表,可选头的结构还没写完,先放着,写完了再更新。代码:#include <stdio.h>#include<stdlib.h>#define _CRT_SECURE_NO_WARNINGSchar filepath[] = "D:\\if_else.exe";typedef char byte;ty
2020-12-11 23:23:00
592
原创 sqli-labs-php7环境搭建及通关记录
sqli-labs-php7环境搭建及通关记录sqli-labs-php7环境搭建及通关记录学了一个星期的sql注入,将学习过程记录在博客,以后可以查看。学习视频来自b站的up主:crowsec视频链接:https://space.bilibili.com/29903122sqli-labs-php7链接:https://github.com/skyblueee/sqli-labs-php7.git一. 环境搭建及常用工具Linux环境搭建(我这里用的是kali linux):1.启动
2020-10-28 22:23:55
1619
原创 sqli-labs-php7第5关使用python进行盲注笔记
sqli-labs-php7第5关使用python进行盲注笔记sqli-labs-php7第5关使用python进行盲注笔记记录sqli-labs个人学习笔记,代码有些不完善。比如有下划线的数据库名解析不够完整,只做了数据库名的解析,表名和字段没写,但大概是那意思,只需要在information_schema里选择相应的内容就可以了。python代码import requests'''注入参数:limit变量(limit_int)用于返回所有的数据库名 ascii对照变量(as
2020-10-23 16:52:45
203
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人