- 博客(15)
- 收藏
- 关注
RSS订阅原创 记第一次实战漏洞挖掘(路由器版)
在程序运行时,系统会为程序在内存里生成一个固定空间,如果超过了这个空间,就会造成缓冲区溢出,可以导致程序运行失败系统宕机重新启动等后果。更为严重的是,甚至可以取得系统特权,进而进行各种非法操作。
2025-01-16 15:25:09
1831
原创 UUCTF2022wp
流量分析,wireshark打开后导出特定分组http,发现有个flag压缩包,打开文件发现是png图片格式,010打开,这里发现缺少头文件,于是修复好,发现是个二维码,扫出来的内容存在零宽容度字符,在线网站解密得到flag。IDA打开,发现内容和上一题几乎一样,唯独不同的点就是溢出空间只够一个后门函数的地址,于是撰写脚本,因为基地址为止,需要碰,所以脚本些许变化。社工还是不太擅长,很久没做过了,找了很久,第一张图暴露了一个钱塘驿,直接暴露了位置,然后就找着地图找宾馆,是个眼力活,也是个体力活。
2024-12-18 16:50:46
488
原创 PWN——栈迁移
我们将ebp覆盖位bss段中的地址,所以再pop ebp后ebp中的内容就是bss段的地址了。我们又往栈上写了一个leave,ret指令的地址。栈迁移通常需要两次leave和ret。函数把栈布置如图所示。每个函数执行完时会执行。因为那的空间很大,有可写的权限。指向同一位置,接着执行。函数也是非常重要的。
2024-12-11 21:17:39
378
原创 PWN——三种绕过canary的方法
由于canary保护就是在距离EBP一定距离的栈帧中,用于验证是否程序有构造缓冲区的危险。而canary所在的位置一般也都在EBP-8的位置上存储着,因此 只要有机会泄露canary的位置,我们便有机会溢出程序。
2024-12-11 21:11:30
443
原创 PWN——从入门到入土
就CTF比赛这几个大类来看,pwn无疑是入门门槛最高的一个方向。代码审计能力对整体程序流的认知与把握发掘程序中的漏洞点善用所有可利用的漏洞点来发起攻击。
2024-12-10 14:58:54
1489
2
原创 PWN——SROP(高级ROP)
Srop 的全称是Sigreturn Oriented ProgrammingSrop 可以理解成一种高级的ROP,利用了linux下15号系统调用的->rt_sigreturn。
2024-12-10 14:43:06
313
原创 PWN——基本ROP
随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是,其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段来改变某些寄存器或者变量的值,从而控制程序的执行流程。所谓就是之所以称之为 ROP,是因为核心在于利用了指令集中的 ret 指令,改变了指令流的执行顺序。ROP 攻击一般得满足如下条件如果 gadgets 每次的地址是不固定的,那我们就需要想办法动态获取对应的地址了。
2024-12-10 14:39:57
423
原创 PWN——整数安全漏洞
如果一个整数用来计算一些敏感数值,如缓冲区大小或数值索引,就会产生潜在的危险。通常情况下,整数溢出并没有改写额外的内存,不会直接导致任意代码执行,但是它会导致栈溢出和堆溢出,而后两者都会导致任意代码执行。由于整数溢出发生之后,很难立即被察觉,比较难用一个有效的方法去判断是否出现或者可能出现整数溢出。关于整数的异常情况主要有三种:(1) 溢出,只有有符号数才会发生溢出。有符号数的最高位表示符号,在两正或两负相加时,有可能改变符号位的值,产生溢出。溢出标指OF可检测有符号数的溢出;
2024-12-08 21:19:58
161
原创 PWN——格式化字符串漏洞
printf("格式化字符串",参数...)该printf函数的第一个参数是由格式化说明符与字符串组成,用来规定参数用什么格式输出内容。%d - 十进制 - 输出十进制整数%s - 字符串 - 从内存中读取字符串%x - 十六进制 - 输出十六进制数%c - 字符 - 输出字符%p - 指针 - 指针地址%n - 到目前为止所写的字符数return 0;特别要注意的是%n这个格式化字符串,它的功能是将%n之前打印出来的字符个数,赋值给一个变量。int c = 0;sss。
2024-12-08 21:18:42
187
原创 PWN——ret2libc
ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system(“/bin/sh”),故而此时我们需要知道 system 函数的地址。
2024-12-08 21:16:44
391
原创 PWN——ret2text
在pwn里,保护一共是四种分别是RELRO、Stack、NX、PIE。1.RELRO(ReLocation Read-Only):分为两种情况,第一种情况是Partial RELRO,这种情况是部分开启堆栈地址随机化,got表可写,第二种,Full RELRO是全部开启,got表不可写,Got表是全局偏移表,里面包含的是外部定义的符号相应的条目的数据段中,PLT表,是过程链接表/内部函数表,linux延迟绑定,但是最后还是要连接到Got,PLT表只是为一个过渡的作用。
2024-12-08 21:12:04
428
原创 XJUSEC2021战队考核赛wp
xjusec考核赛wpREVERSE:justbase64这个题是以前看见过的一个类似的题,ida打开[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jfsPV2Bp-1631845505429)(D:\blog\Pr0b1emBlog\source\img\image-20210825211051630.png)]这边目录看见encode_one,encode_two,encode_three三个编码,右边主函数里就是三次编码后形成的"EmBmP5Pmn7QcPU4
2021-09-17 10:40:47
2214
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人