SCTF2014/pwn400 writeup

最新推荐文章于 2024-07-09 18:30:27 发布
最新推荐文章于 2024-07-09 18:30:27 发布
阅读量1.1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: XCTF-OJ 文章标签: 漏洞 pwn400
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fuchuangbob/article/details/51649391
本文详细介绍了SCTF2014中pwn400挑战的writeup,重点讨论了delete函数中的漏洞。通过分析,发现漏洞在于delete函数接受的外部输入直接为指针。利用这个漏洞,可以构建DWORD SHOOT,由于题目没有执行保护,通过精心设置free指针,可以导向shellcode执行,从而实现攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SCTF2014/pwn400 writeup

逆向
很容易找到漏洞在delete函数,delete函数的外部输入直接是个指针

else if ( ptr->next )
      {
        q = ptr->next;
        p = ptr->pre;
        p->next = q;
        q->pre = p;
      }
..
free(ptr)

利用双链构造DWORD SHOOT,该题无可执行保护,因此让free指向shellcode即可。

from pwn
最低0.47元/天 解锁文章
攻防世界 pwn进阶区解法 write up(一)
qq_46441427的博客
03-01 456
实时数据监测 找信息 没有发现canary,没有开启PIE和NX 查看ida 发现有一个printf,这里是fgets,可能会用到格式化字符串漏洞,运行一下程序 结合ida的分析我们可知,要把这个值改成0x2223322,那结合之前的printf,可以确定是格式化字符串漏洞 给了我们地址,那我们的payload就以地址为开头,因为是p32,所以后面35795746要减4,构成%35795742d%偏移量n$ 然后确定偏移量: 总共,从A到41包括A有12个,偏移量=12 所以得到payload
SCTF&&CCTF 2016】 PWN_WRITEUP
wintersun的地带
05-15 3798
这里是摘要吗
SCTF2014_pwn400 writeup
weixin_30765577的博客
09-09 165
int sub_804874A() { unsigned __int8 v1; // [sp+1Fh] [bp-9h]@2 write(1, "1.New note\n", 0xBu); write(1, "2.Show notes list\n", 0x12u); write(1, "3.Show note\n", 0xCu); write(1...
SCTF 2014 PWN400 分析
weixin_30413739的博客
05-18 155
之前没有分析PWN400,现在再开一篇文章分析一下。 这个日志是我做题的一个笔记,就是说我做一步题就记录一下是实时的。所以说可能会有错误之类的。 首先程序是经典的笔记本程序,基本上一看到这种笔记本就知道是考堆了吧~ write(1, "1.New note\n", 0xBu); write(1, "2.Show notes list\n", 0x12u); write(1...
sctf pwn400
weixin_30432579的博客
04-05 181
  这个题目在这个链接中分析得很透彻,不再多余地写了。http://bruce30262.logdown.com/posts/245613-sctf-2014-pwn400   exploit: from socket import * import struct import time shellcode = "\x90\x90\x90\x90\x90\x90"+"\xeb\x...
PWN 基础篇 Write Up
qq_61553520的博客
10-02 655
data 信息第一句定义了一个名为_data的数据段。segment关键字用于声明一个新的段,dword表示每个数据元素的大小为 4 字节,public表示该段可以在其他模块中访问,'DATA'是标识符,用于标识数据段。第二句则是将代码段(.text)的默认段寄存器cs和数据段(.data)的_data段寄存器进行关联。assume关键字用于指定段寄存器与段的关系,在这里它指定了cs寄存器与_data段寄存器的关联。通过这两句指令,我们可以确保在程序运行时,使用cs寄存器来访问_data段。
绿盟杯NSCTF(CCTF)2017 pwn writeup
jmp esp
07-22 6212
前言比赛有无数值得吐槽的地方,其中最主要的是,题目给了pwn的libc,然而,特么是错的,也就是说虽然给了libc,但是其实还是靠运气/当做没有libc解,顺手记录一下这两个水题。pwn1分析mainint __cdecl main() { alarm(0x1u); setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); p
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 498
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
hctf2016 web 部分WriteUp.md
Bendawang's Blog
11-28 4878
hctf2016 web 部分WriteUp
攻防世界新手pwnwriteup
thinker11的博客
01-28 1649
level2 1.查壳 2.IDA分析 进入vulnerable_function函数 读入的值明显大于buf自身的大小 又有system函数,就差/bin/sh了 接下来我们 SHIFT+F12 双击system函数,得到地址 0x8048320 双击binsh,得到地址 0x0804a024 双击buf,得到buf到返回地址的偏移 0x88+4=140 3.EXP from pwn ...
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
2017湖湘杯pwn400
12-09
2017湖湘杯pwn400pwn题目,喜欢的就下载下来做一下。。
NCTF2019 -- PWN部分writeup
lzyddf的博客
11-27 1349
easy_rop 链接:https://pan.baidu.com/s/1ohXfpbiIb3jjHpYtcuS9xA 提取码:lz3e 文件防护 反汇编 调试的时候发现main函数的rbp居然是pie,而返回地址下面第四行是main函数自己的头部指针 已知条件 存在栈溢出,大小为4个栈单元 开启了canary保护,可以用’+'号绕过 main函数的 rbp 为 pie(基址) main函...
buuoj Pwn writeup 126-130
yongbaoii的博客
05-11 336
126 护网杯_2018_gettingstart 保护 程序就这么点,逻辑也简单。 然后有个栈溢出。 然后就修改修改就好了嘛,把v7改成0x7fffffffffffffff,v8改成0.1 exp from pwn import* r = remote("node3.buuoj.cn", 28793) #r = process("./126") payload = 'a' * 0x18 + p64(0x7fffffffffffffff) + p64(0x3FB999999999999A) r.re
攻防世界新手区pwn writeup
09-08 296
CGfsb 题目地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5050 下载文件后,使用file命令查看。 32位的文件,用ida打开,F5查看伪代码。 printf漏洞:https://www.cnblogs.com/cfans1993/articles...
buuoj Pwn writeup 151-155
yongbaoii的博客
05-28 429
151 ciscn_2019_sw_1 保护 要注意到的是RELRO一点没开,这意味着.fini_array是可以覆盖的。 栈上的格式化字符串。 system也有了。 printf只能用一次,但是我们前面说.fini_array可以覆盖,所以我们第一次先覆盖它为main,制造循环,然后劫持scanf的got表,进行利用就好。 要注意的是在我们覆盖.fini_array的意思是在返回的时候以此调用里面的函数,而这个题.fini_array数组只有一个数组,所以我们只能通过它来返回一次main函数,所以我们一
XDCTF PWN300&400 Writeup
这里没人
05-14 780
打了2天的XDCTF,被Reverse的题目教做人了。Sad (T.T) 到是pwn的题目基本打通了,除了最简单的pwn100 (T.T) pwn300和pwn400比较简单,所以writeup我就放在一起了。 PWN300 做完PWN300,感觉不会再有女朋友了T.T 就不吐槽猥琐的出题人了,直接开始分析程序。 checksec后发现竟然没有开nx,直接shellcode...
NahamCon CTF 2022 pwn 部分writeup
z1r0的博客
05-02 1087
NahamCon CTF 2022 pwn writeup Babiersteps ret2text from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m') ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b
2024年春秋杯夏季赛pwn-Writeup
最新发布
x528935893的博客
07-09 2341
当我们输入3的时候就会进入sub_1CFB函数中,我们进入函数发现他会将我们输入的第一个字节的数取出来作为funcs_1B86函数的偏移,然后在a1 x02808的地方加一。4、第三个参数,我们要算偏移,然后我们输入的第三个参数加上0x502,之后可以得到我们第四个字节的内容(我们通过观察,我们只要让最后的数值为0x104就可以拿到第四字节的)我们进入sub_189C函数,发现他会在我们输入的数值最后加上一个\x00,我们就可以通过这个特性来绕过密码的判断,因为是通过strlen来判断长度的,
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值