[2021 鹤城杯]easyecho
Stack Smash
Canary保护,是在栈上插入一段随机数;进入函数后,也就是call完后会有push ebp,mov ebp,esp,最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次,canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。
Stack Smash 就是利用 canary 检测的机制漏洞将栈上的__libc_argv[0] 内容将其输出
注意在libc2.23 后此机制无法使用
1 | void __attribute__ ((noreturn)) __stack_chk_fail (void) |
程序大致内容就是输入用户名 name 并且输出出来,当后续输入backdoor 调用p_sub_CF0->sub_CF0,打开 flag 文件,将其内容存入 bss 段
后续我们只需要将_libc_argv[0] 内容修改为 flag_bss 的地址,我们就可以通过报错信息输出 flag 了
我们现在的流程就是 获取真实地址计算出 flag 的地址,计算到__libc_argv[0] 的偏移
我们可以利用输入 name 的函数输出栈上其他地址算出程序的基地址
由于本地换 libc 上去程序直接崩了,这边看了别的师傅的 wp,输入点 gets 到到__libc_argv[0] 的偏移为 0x168
1 | from pwn import * #引用pwntools库 |
相关推荐
2025-07-25
ctfshow43-67
1-pwn43 ida打开文件后发现有明显的溢出点 有systeam函数可以使用,但是没用/bin/sh,尝试使用libc无法成功 gdb vmmap可以查看到程序有一段可写的部分,可以使用这一部分去写入/bin/sh 使用objdump -d -j .plt pwn命令可以查看到程序的函数plt地址 12345678910111213141516171819202122232425from pwn import * #引用pwntools库context(log_level='debug',arch='i386',os='linux')ming=1if ming: p=remote('pwn.challenge.ctf.show',28282)#配置远程连接 28282else: p=process("pwn")#配置本地连接:#gdb.attach(p)main_add=0x080487AFsystem=0x804845...
2025-07-25
御网杯
ez_pwn 关闭标准输出流 溢出点 考虑使用wirte(2, got, 0x200) 程序 gadget 有 rdi 和 rsi,rdx 调试后发现没有被修改过还是 200,就无需修改,泄露 write 的真实地址,算出偏移,即可 获得 sh 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364from pwn import * #引用pwntools库from LibcSearcher import *misaki=1if misaki: context(log_level='debug',arch='amd64',os='linux')else: context(log_level='debug',arch='i386',os='linux')ming=1...
2025-08-19
CTFshow PWN160
libc 下载链接:https://files.buuoj.cn/files/85ee93d92fc553f78f195a133690eef3/libc-2.23.so 简单的增删改查 在 add 中,我们输入 size 创建的 chunk 为 s,固定生成的一个 chunk 为 v3 s 在 v3 内存的上方,后续将 s 的 data 段地址赋值给 v3data 段 将 v3 放入 chunk 管理数组 chunk_s 中 edit 函数中有验证 v3->s+v2 的值于 s 的 size 做比较,如果我们在 v3 和 s 之间添加 chunk 使其不连续即可绕过此检查 add 后的 chunk 如图所示 delete 函数中将 s 清空,未将 v3chunk 清空,存在 uaf,但是这题不用 uaf 也可以写 show 输出 s 和 v3 中的 nam 和 test edit 就是上面 add 中的修改 test 中使用的 目前我们的思路为: 使 s 和 v3 中有其他 chunk 存在,这样我们就可以绕过 edit 中的检测使其修改到别的 chunk 内...
2025-07-25
轩辕杯
轩辕杯
2025-08-19
CTFshow PWN162
此文章参考了: CTFshow PWN162 堆利用技巧大杂烩_ctfshow-pwn-162-CSDN博客 好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc_libc泄露方式-CSDN博客 使用realloc函数来调整栈帧让one_gadget生效 - ZikH26 - 博客园 感谢师傅的讲解 本文章只描述了本地是操作是如何打通程序的,远程需要爆破出I0_2_1_stderr_ 的第四位 1/16 概率 本题使用了double_free,unsortedbin_attack 、_IO_2_1_stdout、house of spirit,UAF 经典的增删改查 add 后会有一个固定的 0x28 大小的 chunk,和一个自行输入 size 大小的 chunk,size 被限制大小,add 的 chunk 数量也被限制为 0x13,并且 s->data 为 inuse 此时的堆结构 show 是假函数,无法 show delete 函数中,if 检测 chunk_s+v1 实际上并不是inuse 的值,所以这边是一个假判...
2025-08-20
CTFshow PWN164
muea 中只有 add 和 delete add 中使用的是 realloc 什么是 realloc 呢? 可以参考如下文章 https://squarepants0.github.io/2020/11/18/2019-realloc-magic-realloc-yu-tcache/#toc-heading-2 简单来说就说 mallco 和 free 的结合 plus 版 1234567891011void *realloc(void *ptr, size_t size)# ptr=0 && size!=0# 视作mallco(size) 返回对应的地址# ptr!=0 && size==0# 视作free(ptr)#ptr!=0 && size!=0#当上一次mallco返回的ptr值的size > 现在需要申请的size,则会进行缩小,然后多余的进行free#当上一次mallco返回的ptr值的size < 现在需要申请的size,则会进行扩容#如果上一次mallco返回的ptr已经被free了,且 <...
评论
最新文章
![[2021 鹤城杯]easyecho](/img/22.jpg)
![[HNCTF 2022 WEEK4]ezheap](/img/17.jpg)
![[BJDCTF 2020]YDSneedGirlfriend](/img/8.jpg)
