SCTF2014/pwn400 writeup

最新推荐文章于 2023-10-02 22:35:36 发布

原创

最新推荐文章于 2023-10-02 22:35:36 发布 · 1.1k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#漏洞 #pwn400

本文详细介绍了SCTF2014中pwn400挑战的writeup，重点讨论了delete函数中的漏洞。通过分析，发现漏洞在于delete函数接受的外部输入直接为指针。利用这个漏洞，可以构建DWORD SHOOT，由于题目没有执行保护，通过精心设置free指针，可以导向shellcode执行，从而实现攻击。

SCTF2014/pwn400 writeup

很容易找到漏洞在delete函数，delete函数的外部输入直接是个指针

else if ( ptr->next )
      {
        q = ptr->next;
        p = ptr->pre;
        p->next = q;
        q->pre = p;
      }
..
free(ptr)

利用双链构造DWORD SHOOT，该题无可执行保护，因此让free指向shellcode即可。

from pwn import *
context.log

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

硬面饽饽

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

攻防世界 pwn进阶区解法 write up（一）

qq_46441427的博客

03-01

500

实时数据监测找信息没有发现canary，没有开启PIE和NX 查看ida 发现有一个printf，这里是fgets，可能会用到格式化字符串漏洞，运行一下程序结合ida的分析我们可知，要把这个值改成0x2223322，那结合之前的printf，可以确定是格式化字符串漏洞给了我们地址，那我们的payload就以地址为开头，因为是p32，所以后面35795746要减4，构成%35795742d%偏移量n$ 然后确定偏移量：总共，从A到41包括A有12个，偏移量=12 所以得到payload

pwn刷题writeup（后续更新）

weixin_43342135的博客

08-12

1309

bugku的pwn1：这道题没啥说的，直接在linu下执行语句：nc 114.116.54.89 10001，再 ls 命令展示当下目录，然后 cat flag 读取目标文件，一般来说是flag这个文件有flag，但是也不排除其它的地方有flag。 Bugku的pwn2：第一步先nc上去程序，然后观看程序的作用。传文件进入linux，再然后file pwn2，che...

参与评论您还未登录，请先登录后发表或查看评论

强网杯ctf pwn&re writeup （部分）

这里没人

06-04

7385

打了2天的强网杯，虽然一度冲进了前10。可惜最后的时候还是掉出了20名。最后只能无奈打出GG。其中的原因有很多，也不想多说了。逆向溢出题3连发。我就只会那么多了Orz 先来一道re200 kergen 发送24位的字符串，主要是400B56处的检验函数。检验方法是这样的先是发送字符的第1 10 7 11 2 13 16 17位，中间插入43917202。然后MD5，然后转化成32位字符串形

SCTF2014_pwn400 writeup

weixin_30765577的博客

09-09

176

int sub_804874A() { unsigned __int8 v1; // [sp+1Fh] [bp-9h]@2 write(1, "1.New note\n", 0xBu); write(1, "2.Show notes list\n", 0x12u); write(1, "3.Show note\n", 0xCu); write(1...

SCTF 2014 PWN400 分析

weixin_30413739的博客

05-18

164

之前没有分析PWN400，现在再开一篇文章分析一下。这个日志是我做题的一个笔记，就是说我做一步题就记录一下是实时的。所以说可能会有错误之类的。首先程序是经典的笔记本程序，基本上一看到这种笔记本就知道是考堆了吧~ write(1, "1.New note\n", 0xBu); write(1, "2.Show notes list\n", 0x12u); write(1...

pwn2_sctf_2016

m0sway的博客

04-06

875

pwn2_sctf_2016 WriteUp BUU_PWN

【SCTF&&CCTF 2016】 PWN_WRITEUP

wintersun的地带

05-15

3826

这里是摘要吗

BUUCTF-PWN-Writeup-1-5

feng的博客

01-20

3456

前言开始刷一刷Buuctf的PWN题，一遍学一遍刷题了。其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点，太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。一个gets的栈溢出，后门函数fun()在0x401186，本

buuoj Pwn writeup 201-205

yongbaoii的博客

08-31

584

201 bbctf_2020_write canary是没有开的。环境是2.27的一个环境。可以看到首先进去会给一个puts的地址，然后我们就可以获得libc的基地址。又给出了一个栈地址，我们考虑可以直接去劫持got表，但是发现got表不能写。那我们去考虑劫持main函数返回地址，但是又发现最后用exit去结束的。 exit没有hook，我们考虑怎么能把exit劫持掉。劫持exit 简单点说就是。 exit()->__run_exit_handlers->_dl_fini->_

sctf pwn400

weixin_30432579的博客

04-05

191

　　这个题目在这个链接中分析得很透彻，不再多余地写了。http://bruce30262.logdown.com/posts/245613-sctf-2014-pwn400 　　exploit: from socket import * import struct import time shellcode = "\x90\x90\x90\x90\x90\x90"+"\xeb\x...

pwn栈溢出10道练习题有writeup

01-04

pwn栈溢出练习题目，每题都有writeup.

2017湖湘杯pwn400

12-09

2017湖湘杯pwn400的pwn题目，喜欢的就下载下来做一下。。

PWN 基础篇 Write Up

qq_61553520的博客

10-02

716

data 信息第一句定义了一个名为_data的数据段。segment关键字用于声明一个新的段，dword表示每个数据元素的大小为 4 字节，public表示该段可以在其他模块中访问，'DATA'是标识符，用于标识数据段。第二句则是将代码段（.text）的默认段寄存器cs和数据段（.data）的_data段寄存器进行关联。assume关键字用于指定段寄存器与段的关系，在这里它指定了cs寄存器与_data段寄存器的关联。通过这两句指令，我们可以确保在程序运行时，使用cs寄存器来访问_data段。

攻防世界新手pwn题writeup

thinker11的博客

01-28

1688

level2 1.查壳 2.IDA分析进入vulnerable_function函数读入的值明显大于buf自身的大小又有system函数，就差/bin/sh了接下来我们 SHIFT+F12 双击system函数，得到地址 0x8048320 双击binsh，得到地址 0x0804a024 双击buf,得到buf到返回地址的偏移 0x88+4=140 3.EXP from pwn ...

NCTF2019 -- PWN部分writeup

lzyddf的博客

11-27

1390

easy_rop 链接：https://pan.baidu.com/s/1ohXfpbiIb3jjHpYtcuS9xA 提取码：lz3e 文件防护反汇编调试的时候发现main函数的rbp居然是pie，而返回地址下面第四行是main函数自己的头部指针已知条件存在栈溢出，大小为4个栈单元开启了canary保护，可以用’+'号绕过 main函数的 rbp 为 pie（基址） main函...

buuoj Pwn writeup 126-130

yongbaoii的博客

05-11

361

126 护网杯_2018_gettingstart 保护程序就这么点，逻辑也简单。然后有个栈溢出。然后就修改修改就好了嘛，把v7改成0x7fffffffffffffff，v8改成0.1 exp from pwn import* r = remote("node3.buuoj.cn", 28793) #r = process("./126") payload = 'a' * 0x18 + p64(0x7fffffffffffffff) + p64(0x3FB999999999999A) r.re

攻防世界新手区pwn writeup

09-08

313

CGfsb 题目地址：https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5050 下载文件后，使用file命令查看。 32位的文件，用ida打开，F5查看伪代码。 printf漏洞：https://www.cnblogs.com/cfans1993/articles...

buuoj Pwn writeup 151-155

yongbaoii的博客

05-28

451

151 ciscn_2019_sw_1 保护要注意到的是RELRO一点没开，这意味着.fini_array是可以覆盖的。栈上的格式化字符串。 system也有了。 printf只能用一次，但是我们前面说.fini_array可以覆盖，所以我们第一次先覆盖它为main，制造循环，然后劫持scanf的got表，进行利用就好。要注意的是在我们覆盖.fini_array的意思是在返回的时候以此调用里面的函数，而这个题.fini_array数组只有一个数组，所以我们只能通过它来返回一次main函数，所以我们一

XDCTF PWN300&400 Writeup

这里没人

05-14

813

打了2天的XDCTF，被Reverse的题目教做人了。Sad （T.T）到是pwn的题目基本打通了，除了最简单的pwn100 （T.T） pwn300和pwn400比较简单，所以writeup我就放在一起了。 PWN300 做完PWN300，感觉不会再有女朋友了T.T 就不吐槽猥琐的出题人了，直接开始分析程序。 checksec后发现竟然没有开nx，直接shellcode...

./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory

09-02

这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它：对于 Ubuntu 或 Debian 系统： ``` sudo apt-get install libstdc++6 ``` 对于 CentOS 或 RHEL 系统： ``` sudo yum install libstdc++.so.6 ``` 请注意，根据你使用的操作系统和软件包管理器，命令可能会有所不同。确保你的系统上已经安装了适当的软件包管理器，并根据你的情况进行相应的调整。如果问题仍然存在，请提供更多的上下文信息，以便我可以提供更具体的解决方案。