西湖论剑——pwn

最新推荐文章于 2025-02-10 17:24:31 发布
最新推荐文章于 2025-02-10 17:24:31 发布
阅读量627 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 任务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44319142/article/details/89075229
本文介绍了如何通过pwn技术解决一道具有canary保护的题目。利用printf的格式化字符串漏洞泄露canary,再通过puts函数地址泄露找到libc库,进一步获取system和/bin/sh的地址,最终实现权限获取。通过构造payload并利用在线工具找到特定函数地址,成功完成挑战。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

pwn

在这里插入图片描述
这道题目开了canary,和之前的套路相似,就是要泄露canary,利用栈溢出找到system和/bin/sh,拿到访问权限
看一下函数
在这里插入图片描述

在这里插入图片描述
printf存在格式化字符串漏洞可以用于泄漏canary
在这里插入图片描述
在这里插入图片描述

p.sendlineafter("ID:","%15$p") #不解释了这个要打印的是第十五个参数,也就是canary的值
p.recvuntil("Hello ")#输出hello之后
s=int(p.recvuntil("00"),16)canary的值
print hex(s)#把它打印出来

然后因为里面system和/bin/sh,想要找到,就要找到libc库,要找libc库就可以想办法泄漏某个函数地址

我在这里学到的是一般泄露puts函数

p.sendlineafter("Tell me
最低0.47元/天 解锁文章

200万优质内容无限畅学
190407 逆向-西湖论剑
whklhhhh的博客
04-08 3万+
Re1-easyCpp IDA打开发现一大堆模板很丑,但仔细看一下其实只有一堆变量来回操作而已 基本上就是各种STL和vector的用法,算法名都保留下来了所以难度下降很多 基本流程是接收输入、生成斐波那契数列的十六项 然后对输入依次使用transform和accumulate算法 分别是遍历vector中的一元运算和二元运算 运算都是自定义的方法,双击算法进去可以看到lambda函数 tra...
新Bugku——瑞士军刀——pwn
2301_77163106的博客
08-20 639
我们可以很清楚看到有flag文件,进行抓取使用命令cat 相应文件--->cat flag,得到flag。回车并输入查找命令ls(可以了解一些其他的==>接下来我们只要访问他就行了打开kali进入终端。进入终端窗口输入 nc ip 端口。点击进入(也可以点击鼠标右键)题目给我们 nc ip 端口。
西湖论剑2020 pwn mmutag wp
weixin_45677731的博客
10-11 548
拿到题目,给了libc库,太可了,爱了爱了 开局malloc(0x68)输入姓名,这个0x68给人一种熟悉的感觉 程序会顺便输出保存着chunk指针的栈地址,暂时没发现有什么吊用 heap的部分,只有malloc和free的功能 并且固定申请0x68的chunk free这里,出现了经典的free之后未置0 而且还刚好是0x68的chunk 常见做法就是double free后劫持malloc_hook 然后就是泄露libc基地址 始终没找到什么好办法,泄露出来的栈地址看似也无法得到libc_base
2021 西湖论剑 pwn blind
yongbaoii的博客
03-26 666
利用ret2csu,覆盖alarm的got表最低一字节,通过爆破劫持alarm为syscall。 通过read函数的返回值让rax为0x5b,执行execve("/bin/sh", 0, 0) exp #/usr/env/bin python from pwn import * import time context.log_level = "debug" gadget1 = 0x4007ba gadget2 = 0x4007a0 elf = ELF('./blind') read_got = el.
2020 西湖论剑 pwn noleakfmt
yongbaoii的博客
03-29 784
canary没开,方便溢出。 主逻辑简单。 格式化字符串漏洞。 给了我们一个栈地址,但是主要问题是把标准输出关掉了。 我们要利用的呢就是将_IO_2_1_stdout_的_fileno从1改成2,为啥呢? 对于一个FILE结构体来说,最重要的就是_flags和_fileno,_fileno存储的是我们的文件描述符,对于某些情况或许我们要劫持_fileno才能达到我们的目的,而_flags则标志了该FILE的一些行为,这对于我们的泄露至关重要。 我们想办法劫持结构体的_fileno之后就可以从标准错误做一.
pwn-2019西湖论剑之story
CharlesGodX的博客
04-09 832
0x00:前言 这道题是64位程序,涉及到canary绕过,格式化字符串漏洞,是一道非常好的练习题 0x01:题目思路 首先检查保护,可以看到有堆栈不可执行和canary保护 Thunder_J@Thunder_J-virtual-machine:~/桌面$ checksec story [*] '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/story' ...
2025 西湖论剑 WP Pwn
最新发布
03-13
### 2025年西湖论剑WP Pwn比赛详情及相关信息 #### 比赛背景 2025年的第八届西湖论剑网络安全技能大赛中的Pwn部分,作为一项高水平的技术竞赛吸引了众多安全研究者和技术爱好者参与[^1]。该赛事主要考察选手在二...
2025西湖论剑 wp pwn
03-13
目前尚未有针对2025年西湖论剑活动的具体信息或技术解析公开发布。然而,基于以往的比赛内容和技术细节,可以推测未来比赛中WP类别的Pwn项目可能会延续并深化某些关键技术点。 ### 关键技术趋势预测 #### 1. 堆...
CTF——PWN——栈溢出(1.woof)
qq_45215609的博客
09-10 626
CTF——PWN——栈溢出(1.woof)
[Pwn] Writeup - 2025西湖论剑 - Pwn
Lufiende的博客
02-10 132
西湖论剑2025 Pwn 方向 WriteUp
2019 安恒周周练西湖论剑特别版 pwn 题目wp
abc380620175的博客
03-28 611
pwn1 考点:构造 shellcode,patch 汇编指令 IDA 查看反汇编,程序的逻辑很简单如,如果 直接 f5 的话 IDA 可能识别不出来函数,问题出在 0x080484CF 这个地方,call eax 指令识别不出来,所以这里可以先 patch 成 nop,之后 f5 就正常了。 程序把输入当成 shellcode 直接来执行,很显然是直接往栈上写 shellcode ...
2022西湖论剑pwn部分wp
N1rvana的博客
02-05 1031
西湖论剑2022pwn
CTF西湖论剑
weixin_33845477的博客
03-31 241
一,西湖论剑 itoa()函数有3个参数:第一个参数是要转换的数字,第二个参数是要写入转换结果的目标字符串,第三个参数是转移数字时所用 的基数。在上例中,转换基数为10。10:十进制;2:二进制... memset是计算机中C/C++语言初始化函数。作用是将某一块内存中的内容全部设置为指定的值, 这个函数通常为新申请的内存做初始化工作。 flag就是 123_Buff3r_0v3rf|0...
西湖论剑 2023 比赛复现
shinygod的博客
02-11 1506
在copy 路由会检验 ip 地址是否为 127.0.0.1,且请求体不能有__proto__。在 curl 路由中我们可以用http 请求走私来访问 copy 从而可以绕过 copy 路由里面的 ip 检测,然后利用constructor.prototype 替代__proto__,最后打ejs就行了。
西湖论剑 pwn题解析(持续更新中)
qq_41071646的博客
04-12 1114
这篇文章是我在我志琦哥 我们工作室 负责人 旁边 我俩上数据库课 我看着他一步一步 搞出来的 太强了 不过现在应该还在和我一样自闭中。。。 这个题 有 canary 保护 然后这个题 思路就是 找到 canary的偏移 然后泄露libc 库 然后 获取 system 地址 x64 要找 pop 这里 获取到 puts函数的地址 但是这个题 并没...
西湖论剑逆向
qq_41071646的博客
04-09 602
其实可以石锤我是标题党了 哈哈哈 其实这个我也很尴尬 ·~ 没有题目 没办法好好的去做一下题 但是听说安恒会有复现 复现的时候能够好好做也是极好的 然后 先说一下这个题 题目 其实是在https://www.52pojie.cn/thread-924174-1-1.html这个链接下载的 多谢师傅的分享 其实 testre 这个题 很简单的一个题 就是 怎...
2023西湖论剑--messageboard
m0_61948538的博客
03-03 390
沙箱&栈迁移
2019西湖论剑Storm_note
热门推荐
钞sir的博客
04-13 1万+
分析 这道题的漏洞不多,在edit note的时候有一个off_by_null漏洞: 然后还有一个后门: 没有show功能,想要泄露地址有难度;而且程序禁用了fastbin的申请: ssize_t init_proc() { ssize_t result; // rax int fd; // [rsp+Ch] [rbp-4h] setbuf(stdin, 0LL); setb...
2025第八届西湖论剑网络安全技能大赛WriteUp—Pwn
返璞归真的博客
01-18 1437
2025第八届西湖论剑网络安全技能大赛题解WriteUp—Pwn篇。欢迎关注公众号【Real返璞归真】不定时更新网络安全相关技术文章:公众号回复【2025西湖论剑】获取Pwn附件下载地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值