Pwn

CVE-2013-2028 经典栈溢出漏洞复现资料整理

复现漏洞CVE-2013-2028:nginx栈溢出漏洞相关基础知识栈的基础知识:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/
破落之实·2024-01-23 02:53

C语言函数调用栈,栈溢出基础,canary和pie保护的绕过思路

从这一篇文章开始我们就正式进入pwn的实战部分,本篇文章带领大家了解pwn中最简单的一类型漏洞:栈溢出原理及其利用。在了解栈溢出漏洞原理之前,我们必须得了解栈的工作原理。
Shad0w-2023·2024-01-22 23:45

以题目:ciscn_2019_n_1来详细学习dbg和pwntools

我们在做Linux平台下的pwn题目的时候,调试是必不可少的一步,在调试的过程中找到漏洞并用pwntools写出攻击脚本。
Shad0w-2023·2024-01-22 23:14

CTF-PWN-堆-【chunk extend/overlapping-1】

文章目录chunkextend/overlappingfastbin与topchunk相邻free时候不会合并unsortedbinchunk中与topchunk相邻的被free时会合并extend向后overlapping先修改header,再free,再malloc先free,再修改header,再mallocextend向前overlapping利用放入unsortedbin之前的合并机制先
Full Stack-LLK·2024-01-22 05:05

Pwnable.kr 提示之 md5-calculator 篇

前前言本人的个人博客网址:www.QmSharing.space,所有的文章都可以在里面找到,欢迎各位大佬前来参观并留下宝贵的建议,大家一起学习一起成长:-)难度分析本题属于综合题,是有一定难度的,但利用的漏洞我们在之前的题目中基本都见到过,所以也不算特别的难.这题唯一一个之前涉及不多的就是canary技术,不过它也并不是很难理解,后面我会大概介绍一下.这题总体是特别有意思的一道题,难度与乐趣具备
JackoQm·2024-01-22 03:51

从零开始做题:逆向 ret2text level2

1.题目信息https://adworld.xctf.org.cn/challenges/list2.解题分析2.1ida发现使用了system函数进行输出2.2gdb无法进行调试root@pwn_test1604
网络安全我来了·2024-01-21 15:13

从零开始配置pwn环境:sublime配置并解决pwn脚本报错问题

1.sublime安装Download-SublimeText──(holyeyes㉿kali2023)-[~]└─$sudodpkg-isublime-text_build-4169_amd64.deb[sudo]passwordforholyeyes:Selectingpreviouslyunselectedpackagesublime-text.(Readingdatabase...4091
网络安全我来了·2024-01-21 14:39

Vulnhub-PWN THE TRON: 1渗透

文章目录前言1、靶机ip配置2、渗透目标3、渗透概括开始实战一、信息获取二、靶机背景分析三、解密坐标文件四、利用CSRF漏洞让管理员给我们转账五、获取购买秘密七、利用远程代码执行漏洞获取shell八、私钥获取九、提权!!!前言 由于在做靶机的时候,涉及到的渗透思路是非常的广泛,所以在写文章的时候都是挑重点来写,尽量的不饶弯路。具体有不不懂都的可以直接在文章下评论或者私信博主 如果不会导入Vulnh
疯狂搞网安的18岁老登·2024-01-21 11:44

1.20号(周六)公开课 |pwn之初体验

点击星标,即时接收最新推文—实验室旗下直播培训课程—和20000+位同学加入MS08067一起学习
Ms08067安全实验室·2024-01-20 14:14

[BUUCTF]-PWN:ciscn_2019_n_3解析

堆题,先看保护32位,PartialRELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址
Clxhzg·2024-01-20 05:03

[BUUCTF]-PWN:babyheap_0ctf_2017解析

这是一道关于堆的题目,我们先看一下保护,可以知道保护全开,64位,再看ida这里就不作过多的解释了,大致就是alloc(创造堆块)、fill(填充堆块内容)、free(释放堆块)、dump(输出堆块内容)解题的思路可以分为两步,第一步是利用unsortedbin的特性泄露出mainare+88的地址,进而求出libc,第二步就是伪造堆块和利用malloc_hook的特性getshell。先来详细讲
Clxhzg·2024-01-20 05:33

[BUUCTF]-PWN:hitcontraining_heapcreator解析

又是一道堆题,先看一下保护PartialRELRO说明got表可被修改,而且还没开pie,直接看ida这里就不过多解释了,把比较重要的说一下。首先是这个edit,它限制了填充字节,只能比我们申请的大小多1个字节。还有创建堆块的函数,他在创建我们申请的堆块前还申请了一个大小为0x10的堆块。在动态调试中可以发现,这个堆块还存储了与填充字节数有关的字节数,而且还和heaparray一样存储了指向与他一
Clxhzg·2024-01-20 05:33

[CTF]-PWN:更换libc的pwn题(WSL ubuntu更换libc和ld的方法详解)

首先,要下载好patchelf和glibc-all-in-one,这个在这里就不多说了。第二步,用题目给的libc查看elf文件应该要用的libc版本strings题目的libc|grepubuntu例如:strings/root/libc.so.6|grepubuntu第三步,从glibc-all-in-one里下载对应的版本,详细看下图记得要下载相近的版本,最好是一样的版本,不然会打不通,这里
Clxhzg·2024-01-20 05:02

[BUUCTF]-PWN:ciscn_2019_es_2解析(栈迁移)

这是一道关于栈迁移的题目,先查看保护开启了NX,没开canary和pie,查看main函数可以看到虽然有栈溢出的漏洞,但是可以溢出的长度不够长,有system函数,但是system函数里面的参数是echoflag,这样只会打出flag这四个字符而已,这样的话就没办法覆盖返回地址跳转到system获取shell,所以考虑栈迁移。这道题的栈迁移主要是利用两次leave(一个是函数自带的leave,re
Clxhzg·2024-01-20 05:02

[BUUCTF]-PWN:CSAW_pilot解析

这里有两种解法#解法一(使用pwntools给的shellcode):exp如下frompwnimport*context(arch='amd64',log_level='debug')#p=remote
Clxhzg·2024-01-20 05:02

10_cgpwn2

EXPfrompwnimport*elf=ELF('./cgpwn2')context.log_level='debug'p=process('.
Zero_0_0·2024-01-19 20:23

LitCTF 2023 WriteUp(部分)

Pwn只需要nc一下~口算题卡题目分析EXP:狠狠的溢出涅~题目分析EXP:ezlogin题目分析EXP:Reverse世界上最棒的程序员ez_XOREXP:CryptoHex?Hex!
Red-Leaves·2024-01-19 02:32

从零开始配置pwn环境:优化pwndocker配置

1.研究背景从零开始配置kali2023环境:配置pwn调试环境-CSDN博客前期安装好pwndocker后发现不好用,所以通过研究修改一些配置后可以满足解题需要2.遇到的问题并解决1.docker环境
网络安全我来了·2024-01-18 02:12

从零开始配置pwn环境:优化pwn虚拟机配置支持libc等指令

之前发现pwn虚拟机从零开始配置pwn环境:CTFPWN做题环境-CSDN博客无libc,magic等指令,后来查资料发现是没有安装Pwngdb,按如下处理解决该问题1.在pwn虚机上安装Pwngdbcd
网络安全我来了·2024-01-18 02:12

从零开始搭建ubuntu 16.04 pwndocker环境

1.安装VMware-tools1.1遇到问题在使用VMwareWorkstation时遇到了VMwareTools不能安装的问题,具体表现为:在要安装VMwareTools的虚拟机上右键----》安装VMwareTools(T)…为灰色,不能够点击。1.2解决方案  1.关闭虚拟机(如果之前是开机状态)  2.在虚拟机上右键----》设置(S)----》硬件----》CD/DVD(IDE),在右
网络安全我来了·2024-01-18 02:11

XCTF:hello_pwn[WriteUP]

使用checksec查看ELF文件信息checksec4f2f44c9471d4dc2b59768779e378282这里只需要注意两个重点:Arch:64bit的文件,后面写exp的重点Stack:Nocanaryfound没有栈溢出保护使用IDA对ELF文件进行反汇编双击左侧的函数栏中的main函数再按F5,对main函数进行反汇编获得C的伪代码:__int64__fastcallmain(i
0DayHP·2024-01-15 11:10

新手练习02-CGfsb

image.png格式化字符串修改任意地址的值,首先找偏移image.png偏移为10,接下来就可以修改pwnme的值为8exp:#10frompwnimport*p=process('.
n0va·2024-01-15 02:17

【C基础问题】关于循环中的if条件判断里的break;

)语句1;break;if(条件2)语句2;}如果(条件0&&条件1&&条件2)==1,只执行语句1就退出这个while循环即有break;时退出当前break外面套着的最里面一层循环起因今天在做一个pwn
d0ublεU0x00·2024-01-13 12:24

cmcc_simplerop的wp

没有/bin/sh就用read在bss段上写一个1frompwnimport*23p=process('./simplerop')4context.l
w0nderMaker·2024-01-12 23:48

pwn】hitcontraining_uaf --堆利用之uaf

先检查程序的保护情况32位程序,堆栈不可执行看ida经典的菜单题,根据题目的uaf,判断该题有uaf漏洞,看一下delete函数两次free没置空指针,确实存在uaf漏洞,再看一下add函数和print函数add函数这里,就是创建了两个堆块,第一个堆块八字节数据中,前四个字节存着puts函数地址,后四个字节存着新建堆块的地址,这个堆块才是我们可以使用和操纵的地方,再来看一下print函数print
GGb0mb·2024-01-12 23:47

pwn】[ZJCTF 2019]EasyHeap --fastbin攻击,house of spirit

首先查看一下附件的保护情况可以看到,got表是可修改的状态接着看主函数的逻辑非常典型的菜单题,接着分析每一个函数的作用cunsigned__int64create_heap(){inti;//[rsp+4h][rbp-1Ch]size_tsize;//[rsp+8h][rbp-18h]charbuf[8];//[rsp+10h][rbp-10h]BYREFunsigned__int64v4;//[
GGb0mb·2024-01-12 23:46

buuctf-pwn write-ups (10)

文章目录buu073-hitcontraining_bambooboxbuu074-cmcc_pwnme2buu075-picoctf_2018_got-shellbuu076-npuctf_2020_
C0Lin·2024-01-12 23:16

BUU-pwn(六)

发现个pwn题目:https://github.com/bash-c/pwn_repo/[ZJCTF2019]EasyHeap因为没有showchunk的功能,所以没法利用unsortedbin泄漏地址所以说只要修改
Ff.cheng·2024-01-12 23:46

BUUCTF pwn wp 41 - 45

cmcc_simpleropret2syscall参考https://rninche01.tistory.com/entry/Linux-system-call-table-%EC%A0%95%EB%A6%ACx86-x64构造rop执行read(0,bss_addr,8)读取/bin/sh\x00execve(bss_addr,0,0)getshell这里有个坑点,v4到ebp的距离不是IDA显
fa1c4·2024-01-12 23:45

buuctf pwn (inndy_rop)(cmcc_simplerop)([ZJCTF 2019]Login)

由于buuctf好多pwn题目都是一个类型的,所以就把不同的,学到东西的题目,记录一下buuctfinndy_ropcmcc_simplerop[ZJCTF2019]Logininndy_ropgets
绿 宝 石·2024-01-12 23:14

[BUUCTF-pwn]——cmcc_simplerop (ropchain)

[BUUCTF-pwn]——cmcc_simplerop有栈溢出,自己找rop链,最简单的方法,让ROPgadget帮我们弄好呀,可是有点长,所有需要我们修改。毕竟有长度要求。
Y-peak·2024-01-12 23:13

pwn】cmcc_simplerop --rop链的构造

那可以考虑利用rop链调用execve函数,用系统调用的函数参数是存在寄存器中的,但是本程序找不到/bin/sh的字符串,可以利用read函数读入/bin/sh字符串然后就是找gadgetexp:frompwnimport
GGb0mb·2024-01-12 23:40

(BUUCTF)pwnable_bf

文章目录前置知识整体思路exp前置知识改got表整体思路这道题看起来是在解析brainfuck,我对这方面的知识可以说是一窍不通,但是看了看代码感觉并不需要我们懂brainfuck。首先我们需要输入一个长度最大为1024的字符串,然后其会逐字符解析该字符串。其中,可以移动指针p指向的内容,初始的p为0x0804A0A0。+和-可以使得指针p指向的内容加一或者减一。通过这些目前我们可以实现任意地址写
LtfallQwQ·2024-01-12 23:03

pwn 字符串格式化漏洞 01-查看任意地址

   ---pwnStringformattingvulnerability01一个pwn新手的笔记1.1前景提要:就是c/c++里面helloworld吧#includeintmain(){printf
joe1sn·2024-01-10 18:00

(BUUCTF)picoctf_2018_buffer overflow 3

expfrompwnimport*fromLibcSearcherimport*filename=
LtfallQwQ·2024-01-10 07:24

(BUUCTF)Black_Watch_入群题_PWN2 (tcache stash unlink attack原理和例题)

文章目录前置知识tcache_stash_unlink_attack整体思路exp前置知识calloctcachestashunlinkattack沙箱,需要进行orw(open-read-write)栈迁移tcache_stash_unlink_attacktcachestashunlink可以达成两个目的:任意地址申请一个fakechunk往任意地址写一个main_arena地址看起来就像fa
LtfallQwQ·2024-01-10 07:54

(BUUCTF)pwnable_317

文章目录前置知识fini_array劫持通过fini_array栈迁移来实现ROP整体思路exp前置知识静态编译栈迁移fini_array劫持fini_array劫持若只覆盖array[1]为main_addr,那么只会执行一次main函数便会执行下一个array中的函数。要无限执行某个函数,需要使用这个方式:array[0]覆盖为__libc_csu_finiarray[1]覆盖为另一地址add
LtfallQwQ·2024-01-10 07:07

CTF-PWN-沙箱逃脱-【seccomp和prtcl-1】

文章目录啥是seccomp#ifndef#define#endif使用使用格式seccomp无参数条件禁用系统调用有参数条件禁用系统调用prctl实例seccomp_export_bpf啥是seccomp就是可以禁用掉某些系统调用,然后只能允许某些系统调用#ifndef#define#endif使用#ifndef#define#endif作用就是防止头文件被重复引用,其实“被重复引用”是指一个头文
Full Stack-LLK·2024-01-09 12:22

CTF-PWN-沙箱逃脱-【seccomp和prtcl-2】

文章目录沙箱逃脱prtcl题HITCONCTF2017QualsImpeccableArtifactflag文件对应prctl函数检查源码思路exp沙箱逃脱prtcl题HITCONCTF2017QualsImpeccableArtifactflag文件此时的flag文件在本文件夹建一个即可此时的我设置的flag为对应prctl函数第一条是禁止特权第二条是按定义的BPF来建立沙箱检查保护全开查看沙箱
Full Stack-LLK·2024-01-09 12:22

ISCTF2023wp

1zrsaMisc-签到Misc-小猫Misc-easy_zipMisc-杰伦可是流量明星Misc-蓝鲨的福利Misc-镜流Misc-Ez_miscMisc-PNG的基本食用Misc-MCSOG-猫猫Pwn-test_ncP
Day-Bleeds·2024-01-09 01:38

Polar靶场做题 —— test_format

我学习pwn已经有2个月了,这是我第一次发博客,好紧张啊~~~~~~~~~~~我这个社恐的孩子会不好意思的我朋友推荐我在polarctf团队的靶场上做做题(应该是这个名字哈,好久之前推荐的,记性稍微不太好
巴啦啦不亮呢·2024-01-09 01:22

pwn小白入门06--ret2libc

概述:前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。静态链接和动态链接:链接:程序经过预处理,编译,汇编,链接之后可以生成可执行文件,链接可以将多个汇编之后的程序拼在一起。也可以链接
苏璃只想划水·2024-01-08 19:09

【ctf】ret2text

PWNret2text题目链接:ret2text参考博客:CTFWiki基本ROP参考视频:【CTF】LinuxPWN入门Bamboofox社课系列0x01下载ret2text文件,复制到翔哥的van美
woodwhale·2024-01-08 19:09

pwn小白入门03---ret2text

什么是栈溢出:栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。最简单的栈溢出利用:ret2text通过栈溢出修
苏璃只想划水·2024-01-08 19:08

PWN】07.ret2syscall

参考:ret2syscall_Re1own的博客-CSDN博客pwn小白入门05---ret2syscall_苏璃只想划水的博客-CSDN博客ret2syscall,即通过ROP控制程序执行系统调用,获取
轻闲一号机·2024-01-08 18:38

入门到放弃系列 ret2text

既然有输入输出又是pwn题应该也是肯定有溢出漏洞的(强行推断)。做题第二步,那再看看这个程序有没有什么保护措施,发现只开了一个堆栈不可执行的保护,总之就是这个程序相当不安全。同时还发现这个程序是32位
冯小妖·2024-01-08 18:38

pwn入门之32位ret2libc

文章目录简述libc具体例题内容具体分析补充简述libc何为libc,我们平时看的ida里面的函数只是部分的,还有很多未显示出来,都存在libc库中,比如下面的例题中ida中没有system函数和bin/sh.这就需要用到libc库中的函数。ida中的我们称之为静态分析,而更多的内容都在libc库中。具体例题ctfshow45首先ida分析一下main函数跟进ctfshow函数发现read函数(溢
wangxunyu6·2024-01-08 18:37

pwn入门之ret2text

今天开始打算写一点博客方便日后复习,佬们看到自行跳过,欢迎萌新交流例题来自于ctfshow系列36审计ida:这里是先打印图形,然后有一个ctfshow函数,跟进查看发现这里有一个get_flag的函数,跟进查看,至此ida中对我们有用的信息基本就全部呈现出来重点来了:存在gets函数,先让我们了解一下gets函数,它可以无限读入数据,造成栈溢出。观察到s变量距离ebp有0x28的距离,对于这个题
wangxunyu6·2024-01-08 18:35

Sage运行pwntools库脚本异常解决:OSError: Int or String expected

需要和Oracle交互的密码学脚本一般都需要借助pwn库的帮助,今天切换了python版本后,出现了一个异常(OSError:IntorStringexpected,详细异常见文章),查阅一下源码后简单的解决了这个问题
ATFWUS·2024-01-08 18:58

网络空间安全女生就业,怎么学?

建议把CTF各个方向的东西都浅浅的学一点,诸如RE、PWN、WEB、MISC、REVERSE、MOBILE等等各类方向都学一点,大一新生视野要比技术更重要,都学过一点之后,
web安全学习资源库·2024-01-08 17:15
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他