對(duì)齊格式化字符串打印的位置橄浓,你可以調(diào)試不同長(zhǎng)度的padding看看區(qū)別在哪
攻防世界 - pwn - greeting-150格式化字符串漏洞浑吟,main函數(shù)中邏輯寫的很清晰: 可做任意地址寫掏父,再看getnline函數(shù)邏輯: strlen函數(shù)使用的很奇怪漂彤,可以考慮把got表中strlen位置改為sys...
IP屬地:四川
-
-
pwnable.kr aeg這篇文章同步發(fā)布在我的博客[https://zeredy879.github.io/]上弦牡。 nc連上給了一個(gè)base64編碼后的文件兼都,解碼后是一個(gè)gzip壓縮文件洞渔,解壓后得到...
-
pwnable.kr rootkit
寫這題之前我以為會(huì)需要很多rootkit的前置知識(shí)套媚,但是做完之后發(fā)現(xiàn)并不需要,但還是要知道內(nèi)核模塊相關(guān)的知識(shí)即LKM磁椒,以及內(nèi)核處理syscall的過程堤瘤。 逆向 逆向是解決問題...
-
nasm手寫匯編指南
一般來說編譯匯編代碼(即匯編助記符)使用最多的工具為gas(即GNU as)和nasm,但用gas編譯匯編代碼給我留下了不太美好的回憶浆熔,所以這里只記錄用nasm編譯手寫的匯編...
-
pwnable.kr note先放源碼: write_note中含棧溢出本辐,在調(diào)試的過程中可以發(fā)現(xiàn)申請(qǐng)的堆讀寫執(zhí)行權(quán)限是全開的: 也就是說,在堆上寫shellcode并且棧溢出到shellcode的返回地址...
-
pwnable.kr rsa_calculator
RSA_decrypt中有格式化字符串漏洞: RSA_encrypt實(shí)際上只是簡(jiǎn)單的把a(bǔ)scii字符轉(zhuǎn)換為16進(jìn)制字符表示,寫exp時(shí)不需要關(guān)心RSA相關(guān)的部分慎皱,只需要隨便設(shè)...
-
picoCTF - re - Rolling My Own雖然題目hint給了對(duì)應(yīng)的論文老虫,但其實(shí)看不看問題都不大,本質(zhì)上就是MD5的爆破茫多。先從程序邏輯開始看: input只有前16字節(jié)會(huì)用作運(yùn)算祈匙,從input到enc的邏輯梳理后為:...
-
pwnable.kr fix調(diào)試shellcode的過程中能發(fā)現(xiàn),執(zhí)行到一半時(shí)指令地址和棧頂?shù)奈恢靡呀?jīng)很接近了: 這也是段錯(cuò)誤的原因天揖, 之后的指令和棧重疊導(dǎo)致錯(cuò)誤的出現(xiàn)夺欲,需要將esp的位置挪到離指令相當(dāng)...
-
picoCTF - re - OTP Implementation
main函數(shù)邏輯為: 從對(duì)輸入加密的邏輯可以得知,加密后數(shù)組中每一元素都會(huì)受前面元素的影響: 看了很多別人的WP,利用ltrace可以從開頭一字節(jié)一字節(jié)的爆破出密碼审编。但很麻煩...
-
攻防世界 - pwn - pwn-100
棧溢出加ROP塘慕,輸入邏輯如下: 輸入邏輯為從標(biāo)準(zhǔn)輸入流嚴(yán)格讀入200個(gè)字節(jié),因此輸入的時(shí)候不能sendline扑眉,需要限制字節(jié)數(shù)。調(diào)試得到偏移量赖钞,剩下的就是做ret2libc了...
-
攻防世界 - pwn - note-service2checksec發(fā)現(xiàn)沒開NX: 多半是要我們寫shellcode了腰素,再看比較重要的add和del函數(shù): 一開始以為要用uaf然后發(fā)現(xiàn)和uaf沒關(guān)系,只需要寫完shellcod...
-
攻防世界 - pwn - pwn1
除了PIE其他保護(hù)機(jī)制都開了雪营,但又有明顯的棧溢出漏洞: 選項(xiàng)1中可以很容易的進(jìn)行棧溢出弓千,但程序開了canary,需要把canary值泄露出來献起,選項(xiàng)2的puts可dump出棧上...
-
攻防世界 - pwn - pwn-200
這題用到了rop和ret2libc洋访,漏洞是棧溢出: 沒有后門和syscall,沒有open也不是orw谴餐,且checksec中沒開PIE和canary: 明顯可以用棧溢出姻政,只有...
-
攻防世界 - pwn - time_formatter
算是見過的第一道不直接調(diào)用malloc之類函數(shù)的堆題了,關(guān)鍵的地方有兩處岂嗓,一是在exit前就free了指針: 第二點(diǎn)是strdup的調(diào)用汁展,這個(gè)庫函數(shù)實(shí)現(xiàn)調(diào)用了malloc,參...
-
攻防世界 - pwn - secret_file
更像是逆向而不是pwn厌殉,main函數(shù)邏輯如下: 漏洞在getline未對(duì)輸入大小作限制食绿,而popen可以執(zhí)行任意命令。輸入被復(fù)制到buf上公罕,并且根據(jù)棧上的數(shù)據(jù)分布可以將cmd...
-
攻防世界 - pwn - greeting-150
格式化字符串漏洞器紧,main函數(shù)中邏輯寫的很清晰: 可做任意地址寫,再看getnline函數(shù)邏輯: strlen函數(shù)使用的很奇怪楼眷,可以考慮把got表中strlen位置改為sys...
-
攻防世界 - pwn - welpwnecho函數(shù)中有明顯的棧溢出: 本地的buf復(fù)制時(shí)未做邊界檢查铲汪,但這里和通常的棧溢出算偏移量再做ROP有差異熊尉,也是這道題最巧妙的地方,進(jìn)入echo函數(shù)時(shí)的所有輸入已經(jīng)留在上一...
-
攻防世界 - pwn - warmup
接觸的比較少的盲打類型桥状,算是積累經(jīng)驗(yàn)吧帽揪,用到的漏洞是棧溢出,需要考慮64位和32位系統(tǒng)兩種情況辅斟,并用try except做自動(dòng)化的測(cè)試转晰。 exp: 64位沒跑通換32位即可。
-
攻防世界 - pwn - Recho
極其折磨的一道題士飒,就像其他WP中提到的查邢,需要ORW和pwntools shutdown結(jié)束輸入流,我這里不再說和別人一樣的內(nèi)容了酵幕,講一講整個(gè)痛苦的解題過程扰藕。 翻到別人的WP都...