03 2020 档案
摘要:实验过程 任务一:使用netcat获取主机操作Shell,cron启动 使用 crontab 设置每小时 39 分钟定定时运行指令在端口 5219 开启 /bin/sh 。这样我们监听这个端口就可以拿 shell 。 任务二:使用socat获取主机操作Shell, 任务计划启动 在定时计划中设置当用
阅读全文
摘要:pwn_debug pwn_debug 的 2.27 版本计算出来 到 libc_base 的偏移为 0x3afca0 ,而 ub18 的 2.27 偏移算出来是 0x3ebca0 。远程一直打不通卡了一整天,后来是别的师傅调出来告诉我的 orz... exp 脚本
阅读全文
摘要:"一道 CTF 题目学习 prctl 函数的沙箱过滤规则"
阅读全文
摘要:利用思路 沙盒,禁止了execve和fork syscall,所以不能打开子进程,需要在当前进程里读入flag并输出,利用 orw 打印flag exp 脚本 内容来源 "[V&N2020 公开赛] pwn"
阅读全文
摘要:利用思路 指针没学好...导致这题卡了好久....orz + 首先利用格式化字符串泄露 libc 和程序基址。 + 运用 unlink ,将 chunk 0 的地址覆写为 free_hook 的地址。 + 将system 地址写入 free_hook。 + 触发写入了 '/bin/sh' 的块的删除
阅读全文
摘要:[TOC] 逆向分析 init 函数 + 程序开始时将 flag 的 fd 指针改为 666 . add 函数 + 可以分配 0x20 或 0x10 大小的 chunk 。 + 将输入的数字存储在 mem 指针起始处。 + 在 mem 指针 8 字节偏移处存储输入的数字。 remove 函数 + 释
阅读全文
摘要:exp脚本 这题的考点是整数溢出,我们通过输入 1 绕过 if 判断,从而可以达到输入足够长数据的目的,然后题目给了后门函数,直接栈溢出控制返回地址返回后门函数即可。
阅读全文
摘要:exp 脚本 + 通过格式化字符串漏洞泄露 canary 。 + 栈溢出通过 puts 的 rop 泄露 libc 地址 。 + 再次栈溢出 rop 执行 system('/bin/sh') 内容来源 "bjdctf_2020_babyrop2"
阅读全文
摘要:exp 脚本 + 运用栈溢出泄露 canary 地址。 + 栈溢出运用 puts 的 rop 泄露 libc 地址。 + 再次栈溢出 rop 执行 system('/bin/sh')。 内容来源 "others_babystack"
阅读全文
摘要:exp 脚本 这道题的难度在于只能调用 open read 和 write ,学到了 shellcraft 新的使用方式 内容来源 "pwnable.tw中的orw"
阅读全文
摘要:exp 脚本 栈溢出 rop 泄露 libc 地址,再次 栈溢出 rop 执行 system('/bin/sh') 拿 shell 。
阅读全文
摘要:第一次遇见拟态题,记录几篇拟态分析博客。 "拟态防御题型pwn&web初探" "拟态防御型Pwn题做题思路总结"
阅读全文
摘要:exp脚本 栈溢出返回至 print flag 打印 flag ,太水了...
阅读全文
摘要:[TOC] 逆向分析 add 函数 + heap_addr[v0]:存放 chunk 的地址。 + (heap_addr[heap_number] + 2):在 chunk 的第 8 个字节的偏移存放 name chunk 的 size 。 + (heap_addr[heap_number]):在
阅读全文
摘要:exp 脚本 + 利用 rop write 泄露 libc 地址。 + 获得函数 mprotect 的地址。 + 返回漏洞函数利用 rop mportect 改写权限使得 bss 段可执行。 + 返回漏洞函数利用 rop read 往 bss 段写入 shellcode。 + 返回漏洞函数再次栈溢出
阅读全文
摘要:盲打 BROP 技术,第一次遇见,虽然 buu 上给了源码,但还是记录一篇盲打技术博客。 "Pwn 盲打(Bilnd Pwn)的一般解决思路"
阅读全文
摘要:[TOC] 逆向分析 create 函数 + heaparray[i]:存放 chunk 的地址。 + read_input(heaparray[i], size):向 chunk 写入 size 大小的内容。 edit 函数 + read_input(heaparray[v2], v0):向 ch
阅读全文
摘要:对于 SROP 技术只是了解过,实战还是第一次,记录一下原理以及 pwntools 相关工具的用法。 "4eriri ciscn_2019_es_7" "【技术分享】Sigreturn Oriented Programming攻击简介" "pwnlib.rop.srop"
阅读全文
摘要:"Buuctf pwn1 详细wp" "picoctf_2018_shellcode" "十一月百度杯pwnme" "gyctf_2020_borrowstack"
阅读全文
摘要:常规检查 看题目提示就知道是 shellcode 题,看保护,果然 NX 防护没开启,这就意味着栈上的代码是可以执行的。 逆向分析 文件函数众多,而且不能 ida f5 直接反编译,那只好手撸汇编代码 直接从数据流分析,主函数有两个可疑点,分别是 080488FF call vuln 与 08048
阅读全文
摘要:exp 脚本 这题没有 system ,但是有 int 80h 系统调用,所以我们只需要栈溢出 rop 技术设置系统调用参数即可执行 execve("\bin\sh",0,0) 拿 shell 内容来源 "cmcc_simplerop"
阅读全文
摘要:这道本来是一道盲打题,但是 buu 给出了二进制文件,那就成了简单的格式化字符串漏洞题,不过还是记录一下盲打的流程跟 pwntools 的格式化字符串漏洞自动化工具怎么使用。 "pwnlib.fmtstr" "buuctf刷题" /) "Pwn 盲打"
阅读全文
摘要:[TOC] 逆向分析 add 函数 + notelist[]:存储 chunk 的地址。 + notelist[i]:chunk 的第一个内容为 print_note_content 函数地址。 + v1[1] = malloc(size):chunk的第二个内容为指向 content chunk
阅读全文
