[第六章 CTF之PWN章]note

最新推荐文章于 2025-04-18 23:39:15 发布

yongbaoii

最新推荐文章于 2025-04-18 23:39:15 发布

阅读量567

点赞数 1

CC 4.0 BY-SA版权

分类专栏： CTF 文章标签：网络安全

本文链接：https://blog.youkuaiyun.com/yongbaoii/article/details/120025567

在这里插入图片描述
RELRO半开

在这里插入图片描述
就是个菜单堆。

free
在这里插入图片描述 free函数有uaf。

2.27的libc直接double free就好了。

exp

from pwn import *

r = remote("node4.buuoj.cn", 26014)

def add(size,cont):
	r.sendlineafter(">>", '1')
	r.sendlineafter('Size', str(size)

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

yongbaoii

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

BugkuCTF-PWN题pwn3-read_note超详细讲解

am_03的博客

08-30

2909

知识点 puts()的特性 , puts()会一直输出某地址的数据,直到遇到 \x00 Canary最低位为\x00(截断符) \x 和 0x 的区别：区别不大，都是把数按16进制输出。 1、0x 表示整型数值（十六进制） char c = 0x42; 表示的是一个数值(字母B的ASCII码66)，可以认为等价于： int c = 0x42; 2、\x42用于字符表达，或者字符串表达 char c = ‘\x42’; 亦等价于： char c = 0x42; char* s = “\x41\x42

BugkuCTF练习平台pwn3(read_note)的writeup

只影的博客

03-05

1639

在Bugku的pwn题中，这道题分值最高，也是难度最大的一道。难点在于，第一要读懂题目找出漏洞，第二是要绕过各种保护机制，第三是exp的编写调试。看一眼程序的保护机制，发现除了RELRO所有保护全开，还是有点头疼的，毕竟我刚开始学pwn没几天，还没有做过PIE和Canary的题目，所以调试还是花了不少时间的。首先分析程序，重要部分如下所示。一开始会让你输入一个路径，不存在的话就会报错推出，然后打...

1 条评论您还未登录，请先登录后发表或查看评论

CTFNote:CTFNote是一种协作工具，旨在帮助CTF团队组织工作

04-12

周大福欢迎 CTFNote是一种协作工具，旨在帮助CTF团队组织工作。安装使用提供的docker配置来部署项目： $ docker-compose up -d 然后，访问127.0.0.1并创建您的第一个帐户，该帐户将自动具有管理员权限您可以根据需要选择编辑API配置文件：礼遇 ADMIN_ALL：可以创建CTF，任务，编辑用户/配置。 EDIT_CTF：可以创建和修改CTF信息；您应该将此权利授予您的队长 CTF_ALL：可以加入每个CTF；您应该将此权利授予您的团队成员。无权限：只能在受邀时查看CTF；这用于不定期的客人。允许CTF来宾创建和编辑任务，但不允许创建和编辑任务。发展开发服务器包括一个简单的HTTP代理，允许前端访问本地API（cf ）。同时在两个组件上都配置了热重装。设置并启动前端 $ cd front/ $ yarn instal

CTFshow_MISC_刷题笔记_4.18

最新发布

2401_87875879的博客

04-18

818

我认为作者写的很对：即使这些题都很简单，但是解题的方式却不止一种，总能从中找到亮点。

ctf note

zhn的博客

05-06

868

引言密码学（Cryptography）一般可分为古典密码学和现代密码学。其中，古典密码学，作为一种实用性艺术存在，其编码和破译通常依赖于设计者和敌手的创造力与技巧，并没有对密码学原件进行清晰的定义。古典密码学主要包含以下几个方面：单表替换加密（Monoalphabetic Cipher）多表替换加密（Polyalphabetic Cipher）奇奇怪怪的加密方式而现代密码学则起源于 20 世纪中后期出现的大量相关理论，1949 年香农（C. E. Shannon）发表了题为《保密系统.

buuctf-N1Book[第六章 CTF之PWN章]

CHAWUCIREN1的博客

10-17

2474

64位，开启了NX保护 shift + F12查看里面的字符串发现自带system和bin/sh的地址 bin_sh = 0x400537 gets函数对输入的长度没有限制查看一下v1的栈空间需要填充0xA + 0x8的空间 payload = “A” *(0xA + 8) 由于存在栈对齐，所以还要加一个地址 ret = 0x40054E 构造的exp如下 from pwn import * #p = process("./stack") p = remote("node4.buuoj..

CTF-PWN-note-service2 (堆中shellcode执行)

SuperGate的博客

11-18

659

checksec Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX disabled PIE: PIE enabled RWX: Has RWX segments 发现没有开启NX，因此很有可能是要我们将sh...

【CTF资料-0x0002】PWN简易Linux堆利用入门教程by arttnba3

arttnba3的博客

02-25

6149

【CTF资料-0x0002】简易Linux堆利用入门教程by arttnba3老生常谈，[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/)，请

linux 堆溢出 pwn 指南,新手科普 | CTF PWN堆溢出总结

weixin_36467693的博客

05-16

1105

学习汇总序言自从加入RTIS交流群, 在7o8v师傅，gd大佬的帮助下，PWN学习之路进入加速度。下面是八周学习的总结，基本上是按照how2heap路线走的。由于八周内容全写，篇幅太长，这里只讲述每道PWN题所用到的一个知识点。第一节(fastbin_dup_into_stack)知识点利用fastbin之间,单链表的连接的特性, 溢出修改下一个free chunk的地址, 造成任意地址写.例子:...

[BUUCTF]PWN——zctf2016_note2（unlink）

mcmuyanga的博客

02-07

990

zctf2016_note2 附件步骤例行检查，64位程序，开启了canary和nx 试运行一下，看看大概的情况，经典的堆题的菜单 64位ida载入,方便看程序，我修改了函数名 New_note() 定义的时候i是unsigned_int64,但是for循环里的i是int64.我们都知道，在c语言中，无符号变量和有符号变量比较时，会将有符号变量转化为无符号变量来比较。所以这里size为0的时候。(unsigned int)(size-1)就就是非常大的整数，存在整数溢出漏洞 show_not

2016_ZCTF_Pwn note2(unlink)

Pwnpanda的博客

08-05

671

暑假学习计划 - 0x03 2016_ZCTF_note2 详细分析参考：CTF Wiki 肝了一下午 + 一晚上，还是有一部分还不是很理解： ①为什么payload1后面一定要加上p64(64)+p64(0x60)，为什么不能删除或者改大小； ②分配的三个堆块，为什么第一个和第三个大小一定是0x80；路过的各位大佬，如果知道麻烦指点一些，谢谢啦 from pwn import...

ctf_notes:通过进行大量CTF收集的笔记，以帮助进一步的CTF

04-14

ctf_notes 通过进行大量CTF收集的笔记，以帮助进一步的CTF -------------------------------------------------- --------------------------------------- Windows和* nix： -密码喷涂： crackmapexec [模块] -u [users.txt] -p [passwords.txt] [ip或ip范围] -bruteforce（可能需要更多选项，使用的示例是SSH模块）： medusa -h [ip] -U [users.txt] -P [passwords.txt] -M [模块] [ip] 一般注意事项：已知的主机ssh文件将显示该主机已通过SSH进入的所有主机 -重置中断的终端会话的命令 $>重置 -使用私有rsa而不是密码的ssh： ssh -i

【亲测免费】 CTFNote：CTF团队协作的利器

gitblog_00875的博客

09-22

418

CTFNote：CTF团队协作的利器项目介绍 CTFNote 是一款专为 CTF（Capture The Flag）团队设计的协作工具，旨在帮助团队更高效地组织和管理他们的工作。无论是任务分配、信息共享，还是团队协作，CTFNote 都能提供强大的支持。通过 Docker 容器化的部署方式，CTFNote 可以轻松地在各种环境中运行，并且支持通过 Discord 进行进一步的协作。项目技术分析...

ByteCTF note_five 经验总结

qq_43189757的博客

10-10

886

每到接触新知识得时候总要花不少力气搞懂（汗，这题是关于改写global_max_fast 再通过fastbin attack来getshell，总结一下学到的知识点和解题思路思路：这题限制了chunk的size，大小为0x8f~0x0x400，在edit info 函数处存在 off-by-one 漏洞，通过这个漏洞可以改写chunk的size 一开始的思路是创建几个chunk，然后通过修...

CTFNote 项目教程

gitblog_00967的博客

09-22

896

CTFNote 项目教程 1. 项目的目录结构及介绍 CTFNote 项目的目录结构如下： CTFNote/ ├── api/ ├── db/ ├── front/ ├── screenshots/ ├── .env.example ├── .gitattributes ├── .gitignore ├── .prettierrc ├── .yarnrc.yml ├── CONTRIBUTING....

2021 祥云杯 pwn note

yongbaoii的博客

08-30

395

保护全开功能1 可以申请chunk，然后会给chunk地址。功能2 功能2有一个scanf的任意写。功能3是一个输出。利用的就是scanf的任意写。我们知道scanf会把我们的输入的字符串当成第一个参数，如果还有需要，会先从五个寄存器去找，然后再去找栈中的数据，那我们也去看一下寄存器或者栈上的数据有没有可以利用的。偏移8的地方显然有一个_IO_2_1_stdout_地址，所以我们可以把他当作参数做一个任意写，劫持_IO_FILE然后泄露libc，再来一次把malloc_hook地址写上去，

2016 ZCTF note2

Morphy_Amo的博客

01-27

2720

堆溢出中unlink的应用

CTF buuoj pwn-----第6题:jarvisoj_level0

bing_Max的博客

09-02

1153

CTF buuoj pwn-----第6题:ciscn_2019_n_1前言一、checksec 检测文件的保护机制二. 静态分析，IDA打开文件三. 编写EXP四. 运行EXP, 获取flag 前言记录一下pwn的过程, 新手学习日记, 流水线记录. 打开题目, 连接靶机，下载文件level0 一、checksec 检测文件的保护机制 bing@bing-virtual-machine:~/pwn$ checksec ./level0 [*] '/home/bing/pwn/level0'

pwn学习总结

Ree的整理与收集

09-01

5904

遇到的优秀文章关于Heap Overflow（堆溢出） Linux常见漏洞利用技术实践 GCC 中的编译器堆栈保护技术 Linux环境进程间通信（一）现代Linux操作系统的栈溢出（一）解读Linux安全机制之栈溢出保护工具与常用命令*nix命令 export ...="..." 添加一个环境变量，这个环境变量只在这个shell进程中起作用 gdbgdb的话一定会装peda插件。p