对齐格式化字符串打印的位置,你可以调试不同长度的padding看看区别在哪
攻防世界 - pwn - greeting-150格式化字符串漏洞,main函数中逻辑写的很清晰: 可做任意地址写,再看getnline函数逻辑: strlen函数使用的很奇怪,可以考虑把got表中strlen位置改为sys...
对齐格式化字符串打印的位置,你可以调试不同长度的padding看看区别在哪
攻防世界 - pwn - greeting-150格式化字符串漏洞,main函数中逻辑写的很清晰: 可做任意地址写,再看getnline函数逻辑: strlen函数使用的很奇怪,可以考虑把got表中strlen位置改为sys...
这篇文章同步发布在我的博客[https://zeredy879.github.io/]上。 nc连上给了一个base64编码后的文件,解码后是一个gzip压缩文件,解压后得到...
写这题之前我以为会需要很多rootkit的前置知识,但是做完之后发现并不需要,但还是要知道内核模块相关的知识即LKM,以及内核处理syscall的过程。 逆向 逆向是解决问题...
一般来说编译汇编代码(即汇编助记符)使用最多的工具为gas(即GNU as)和nasm,但用gas编译汇编代码给我留下了不太美好的回忆,所以这里只记录用nasm编译手写的汇编...
先放源码: write_note中含栈溢出,在调试的过程中可以发现申请的堆读写执行权限是全开的: 也就是说,在堆上写shellcode并且栈溢出到shellcode的返回地址...
RSA_decrypt中有格式化字符串漏洞: RSA_encrypt实际上只是简单的把ascii字符转换为16进制字符表示,写exp时不需要关心RSA相关的部分,只需要随便设...
虽然题目hint给了对应的论文,但其实看不看问题都不大,本质上就是MD5的爆破。先从程序逻辑开始看: input只有前16字节会用作运算,从input到enc的逻辑梳理后为:...
调试shellcode的过程中能发现,执行到一半时指令地址和栈顶的位置已经很接近了: 这也是段错误的原因, 之后的指令和栈重叠导致错误的出现,需要将esp的位置挪到离指令相当...
main函数逻辑为: 从对输入加密的逻辑可以得知,加密后数组中每一元素都会受前面元素的影响: 看了很多别人的WP,利用ltrace可以从开头一字节一字节的爆破出密码。但很麻烦...
一个简单的切换gdb插件的shell脚本:
栈溢出加ROP,输入逻辑如下: 输入逻辑为从标准输入流严格读入200个字节,因此输入的时候不能sendline,需要限制字节数。调试得到偏移量,剩下的就是做ret2libc了...
checksec发现没开NX: 多半是要我们写shellcode了,再看比较重要的add和del函数: 一开始以为要用uaf然后发现和uaf没关系,只需要写完shellcod...
除了PIE其他保护机制都开了,但又有明显的栈溢出漏洞: 选项1中可以很容易的进行栈溢出,但程序开了canary,需要把canary值泄露出来,选项2的puts可dump出栈上...
这题用到了rop和ret2libc,漏洞是栈溢出: 没有后门和syscall,没有open也不是orw,且checksec中没开PIE和canary: 明显可以用栈溢出,只有...
算是见过的第一道不直接调用malloc之类函数的堆题了,关键的地方有两处,一是在exit前就free了指针: 第二点是strdup的调用,这个库函数实现调用了malloc,参...
更像是逆向而不是pwn,main函数逻辑如下: 漏洞在getline未对输入大小作限制,而popen可以执行任意命令。输入被复制到buf上,并且根据栈上的数据分布可以将cmd...
格式化字符串漏洞,main函数中逻辑写的很清晰: 可做任意地址写,再看getnline函数逻辑: strlen函数使用的很奇怪,可以考虑把got表中strlen位置改为sys...
echo函数中有明显的栈溢出: 本地的buf复制时未做边界检查,但这里和通常的栈溢出算偏移量再做ROP有差异,也是这道题最巧妙的地方,进入echo函数时的所有输入已经留在上一...
接触的比较少的盲打类型,算是积累经验吧,用到的漏洞是栈溢出,需要考虑64位和32位系统两种情况,并用try except做自动化的测试。 exp: 64位没跑通换32位即可。
极其折磨的一道题,就像其他WP中提到的,需要ORW和pwntools shutdown结束输入流,我这里不再说和别人一样的内容了,讲一讲整个痛苦的解题过程。 翻到别人的WP都...