XYCTF pwn部分题解 (部分题目详解)
hello_world(签到)
思路:
这道题就是利用printf函数泄露libc的基地址,然后再次进行栈溢出通过system,/bin/sh来获取shell
wp:
invisible_flag
思路:
题目提示orw,那我们先看看是否开了沙盒
那么是开了沙盒的,试试orw读取flag
虽然保护全开但是程序会执行我们写的shellcdoe那么就可以orw读取flag了
wp:
static_link
思路:
那么这题提示我们是静态编译,对于静态编译的,哪些ret2libc什么的都没法使用了,但是我们可以利用程序现有的函数,比如read,write,mprotect....等等。那么这道题目就可以利用mprotect函数来获取shell,对于这个函数详细的解释,可以看看这篇博客 mprotect静态编译
wp:
guestbook1
思路:通过修改index和name来完成类似于栈迁移的过程,先修改最后一个字节到backdoor,因为我们不知道栈的地址,但是可以通过爆破最后一个字节来完成迁移(有1/16的概率)
wp:
baby_gift
思路:题目给了我们gift函数,但是我发现没有什么实际的作用,但是他提醒了我们要看看rdi(hahaha)
程序是有溢出的,但是没有pop_rdi那一类的gadget
那我们看看反汇编的GetInfo函数,发现了一个不得了的东西
那么就是我们输入栈上的数据被赋值给了rax,rax赋值给了rdi,也就是我们可以,通过输入的数据来控制rdi,那么我输入一个%p后面\x00截断一下,然后返回地址调用printf是不是就可以泄露rsi的地址,我们还要看一下rsi的地址是不是跟libc的地址有关
发现是有关的,那么我们就可以计算出read函数的地址,进而得到libc版本和libc_base
那么接下来就再来一次溢出通过输入/bin/sh控制rdi,然后system就好了
但是值得注意的是我们要把eax清零之后再进行我们的打印和system函数,不然就会出现一系列的问题。
wp:
fmt
思路:题目是格式化字符串类型的题目,而且给了后门函数,还有libc的地址,但是这次没有给我们printf而是scanf,但是本质上是一样的,都可以进行漏洞的利用,因为程序利用exit来退出的,我们可以利用sacnf的%s来进行修改exit_hook为后门函数,关于这个函数具体可以看这个博客 https://www.cnblogs.com/bhxdn/p/14222558.html
wp:
这里踩个坑,我发现直接gdb调试和使用脚本来动态调试,exit_hook的偏移不一样,可能是我输入的东西的区别?.......所有还是以脚本调试的为主吧haha
simple_srop
思路1:本题开了沙盒,所以不能直接sh来进行getshell,可以进行orw读取flag,注意一下偏移即可
思路2:通过mprotect函数执行orw shellcode,当然这个shellcode可以手写也可以使用工具,其实两种思路都是差不多的都要注意偏移
wp:
Intermittent
思路:这个题目限制了我们的shellcode,但是别怕,因为程序会跳到,可执行段上去执行,然后我们输入的数据在栈上,它会四个字节一组赋值给可执行段上,但是不连续,我们可以通过我们输入栈上的数据和它配合来syscall
因为rax要为一个合法地址,所以我们要给rax赋值(它实际上是把rax最低的一个字节加到它本身)
wp:
那先到这里吧(后续我再补上haha)
总结:这次收获很大,比赛不是目的,而是总结提高的一次机会,师傅们都很厉害,大家一起交流,有什么具体的问题可以评论留言,第一时间解答!!
XYCTF pwn部分题解 (部分题目详解)的更多相关文章
- RHCE脚本题目详解
目录 RHCE脚本题目详解 题目一 shell脚本之if语句实现: shell脚本之case语句实现: 题目二 实现 测试 解析 写在后面 RHCE脚本题目详解 题目一 在system1上创建一个名为 ...
- js几个经典的题目详解
直接看题目,先不要急着看答案 先自己思考,收获更多 一 var out = 25, inner = { out: 20, func: function () { var out = 30; retur ...
- POJ-2590-Steps题目详解,思路分析及代码,规律题,重要的是找到规律~~
Steps Time Limit: 1000MS Memory Limit: 65536K http://poj.org/problem?id=2590 Description One ...
- LeetCode 873. 最长的斐波那契子序列的长度 题目详解
题目详情 如果序列 X_1, X_2, ..., X_n 满足下列条件,就说它是 斐波那契式 的: n >= 3 对于所有 i + 2 <= n,都有 X_i + X_{i+1} = X_ ...
- 338. Counting Bits题目详解
题目详情 Given a non negative integer number num. For every numbers i in the range 0 ≤ i ≤ num calculate ...
- day23作业详解
1.题目 2.题目详解 点击查看详细内容 1. 1-1 封装 把功能封装到类中 class Message(object): def email(self):pass def msg(self):pa ...
- day13列表推导式作业详解
1.day13题目 2,用列表推导式做下列小题 (1)过滤掉长度小于3的字符串列表,并将剩下的转换成大写字母 (2)求(x,y)其中x是0-5之间的偶数,y是0-5之间的奇数组成的元祖列表 (3)求M ...
- day10函数作业详解
1.day10题目 2,写函数,接收n个数字,求这些参数数字的和.(动态传参) 3,读代码,回答:代码中,打印出来的值a,b,c分别是什么?为什么? a=10 b=20 def test5(a,b): ...
- day9函数作业详解
1.day9题目 1,整理函数相关知识点,写博客. 2,写函数,检查获取传入列表或元组对象的所有奇数位索引对应的元素,并将其作为新列表返回给调用者. 3,写函数,判断用户传入的对象(字符串.列表.元组 ...
- day8文件操作作业详解
1.day8题目 1,有如下文件,a1.txt,里面的内容为: 老男孩是最好的培训机构, 全心全意为学生服务, 只为学生未来,不为牟利. 我说的都是真的.哈哈 分别完成以下的功能: a,将原文件全部读 ...
随机推荐
- C#中字典集合的两种遍历
记录一下 Dictionary<string, string> dictionary = new Dictionary<string,string>(); foreach (s ...
- KingbaseES V8R3集群运维案例之---failover故障处理
案例说明: 此案例,为KingbaseES V8R3集群failover切换时,通用的故障处理方式.通过对failover.log和recovery.log日志的解读,让大家了解KingbaseE ...
- java实战字符串2:中英字符串相互转换
题目描述 输入字符串为中文拼音号码串或者英文号码串,如果输入是中文拼音号码串则转成英文号码串,如果输入是英文号码串则转成中文号码串. 特殊情况是英文号码串会出现Double + 英文数字或者拼音数值. ...
- python打包Windows.exe程序(pyinstaller)
python打包Windows.exe程序(pyinstaller) 基础命令 pip install pyinstaller 使用pip命令来安装pyinstaller模块. -F: pyinsta ...
- Android---ListView控件用法
首先要使用ListView是要自定义一个适配器类的,先简单分析一下适配器怎么写: 示例程序是要使用ListView列表显示出水果的图片以及对应的水果文字描述(水果名字). public class F ...
- #CDQ分治,单调栈,双指针#BZOJ 4237 稻草人 AT1225 かかし
洛谷传送门 BZOJ 4237 稻草人 题意 在一个平面直角坐标系上给出\(n\)个点, 问有多少个点对\((i,j)\)满足\(x_i<x_j,y_i<y_j\), 而且对于\(n\)个 ...
- Mac 使用 Nginx 在本地部署静态网站
安装 安装 Brew /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/i ...
- C语言 02 安装
C 语言的编译器有很多,其中最常用的是 GCC,这里以安装 GCC 为例. Windows 这里以 Windows 11 为例 官方下载地址:https://www.mingw-w64.org/ 选择 ...
- lowdb 在electron 使用中注意的问题
前言 可能很多人都没有听说过这个lowdb,但是它的确存在,而且在electron 中用到还是挺多的. 如何在electron 的render 进程中是引用electron 模块. 我们知道一个问题, ...
- MMDeploy部署实战系列【第四章】:onnx,tensorrt模型推理
MMDeploy部署实战系列[第四章]:onnx,tensorrt模型推理 这个系列是一个随笔,是我走过的一些路,有些地方可能不太完善.如果有那个地方没看懂,评论区问就可以,我给补充. 目录: 0️⃣ ...