摘要:
这道题先来看一下ida 这道题的代码逻辑很简单,首先关闭了标准输出和错误输出 那可以将标准输出重定向到标准输入 exec 1>&0 是一种Shell命令行中的重定向语法,用于将标准输出(文件描述符1)重定向到标准输入(文件描述符0)。 在Linux Shell中,每个进程都有三个默认的标准文件描述符 阅读全文
摘要:
程序保护情况检查 32位程序,堆栈不可执行 主函数: 左边又是一堆函数,file看一下 发现是静态链接,那ret2libc不用考虑了,接着看一下有没有int 80 那可以考虑利用rop链调用execve函数,用系统调用的函数参数是存在寄存器中的,但是本程序找不到/bin/sh的字符串,可以利用rea 阅读全文
摘要:
先检查程序的保护情况 32位程序,堆栈不可执行 看ida 经典的菜单题,根据题目的uaf,判断该题有uaf漏洞,看一下delete函数 两次free没置空指针,确实存在uaf漏洞,再看一下add函数和print函数 add函数这里,就是创建了两个堆块,第一个堆块八字节数据中,前四个字节存着puts函 阅读全文
摘要:
先检查程序的保护情况 32位。堆栈不可执行,ida看一下代码逻辑 存在gets函数的栈溢出,偏移是0xc,然后再根据左边一堆函数,判断这个程序是静态编译,那这里的libc的打法就可以不用考虑,这里使用ROPgadget --binary rop --ropchain进行需要rop链 然后加上偏移就可 阅读全文
摘要:
第1关直接ssh连接,获得密码NH2SXQwcBdpmTEzi3bvBHMM9H66vVXjL,用这个密码连接第2关 第2关,连接之后查看 存在特殊字符的文件 因为使用 - 作为参数是指 STDIN/STDOUT 即 dev/stdin 或 dev/stdout 。所以如果你想打开这种类型的文件,你 阅读全文
摘要:
首先先来了解一下setuid漏洞: SUID (Set UID)是Linux中的一种特殊权限,其功能为用户运行某个程序时,如果该程序有SUID权限,那么程序运行为进程时,进程的属主不是发起者,而是程序文件所属的属主。但是SUID权限的设置只针对二进制可执行文件,对于非可执行文件设置SUID没有任何意 阅读全文
摘要:
首先查看一下附件的保护情况 可以看到,got表是可修改的状态 接着看主函数的逻辑 非常典型的菜单题,接着分析每一个函数的作用 unsigned __int64 create_heap() { int i; // [rsp+4h] [rbp-1Ch] size_t size; // [rsp+8h] 阅读全文
摘要:
这道题没给附件,直接连上看看 这里一开始用().__class__.__base__.__subclasses__()[-4].__init__.__globals__[bytes([115,121,115,116,101,109]).decode()](bytes([115,104]).decod 阅读全文
摘要:
查看附件信息 这里禁用了__import__,直接导致了help()函数和breakpoint()函数没法使用,并且还过滤了关键字符,这里考虑python模板注入,但是这里还过滤chr(),这里可以使用bytes函数 payload如下:().__class__.__base__.__subclas 阅读全文
摘要:
打开下载来的附件 这道题比之前那道题多了长度限制,长度不能大于6,所有globals()函数用不了,但还是可以输入help()函数,然后再输入__main__就可以查看当前模块的值 拿到key之后就可以去backdoor函数getshell了 阅读全文