GFCTF 2021 where_is_shell

已于 2024-04-09 13:56:17 修改
阅读量251 收藏
点赞数 8
文章标签: linux 运维 网络安全
于 2024-04-09 13:55:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79793667/article/details/137549439
版权

打开环境,先进行nc连接,发现随便输入一些东西后就会被弹出,检查附件并用相应ida打开。

发现定义了一个字符串buf,距栈底距离为0x10,并且有一个read函数,再检查附件其他内容并没有发现bin/sh,但是发现了一个tips,跳转到该地址进行查看

发现机器码24 30,$0在机器码中为 \x24\x30,可以利用system($0)获得shell权限。

只需要取它地址后一位就可以了也就是取到0x400541就能得到$0的机器码。

要构造的payload就是首先需要覆盖返回地址,使用ret弹出一个地址,再使用pop rdi ret 把我们的shell的地址存进rdi寄存器里,最后再调用system函数,因为rdi里存着shell函数的地址所以调用了system函数就等于system($0)。

Darklight夜曦
关注
  • 8
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
where_you_at
07-04
你在哪 Meetup 成员在会议上使用的应用程序,用于识别某人并获取联系信息 可以使用 Git Extensions GitBash 工具下载此存储库。 下载 GitExtensions 并从工具下拉菜单运行 GitBash。 GitBash 是适用于 Windows 或 Mac 的类似 Linux 的 BASH Shell。 阅读 Bash shell 命令以了解如何在 Bash 中执行操作,例如更改目录。 将目录更改为您希望 where_you_at 源文件所在的位置,例如“cd /c”。 输入“git clone ” 现在,您将在该目录中拥有 WYA 源文件。 您可以通过在 URL 字段中键入“C:/where_you_at/index.html”在 Web 浏览器中运行 WYA 客户端。
where_is_the_point.rar_The Point
09-20
输出一组图形(矩形或圆)和一组点的数据,判断点的位置。
where_is_waldo
02-15
沃尔多在哪里? COVID-19项目#2 受启发的项目 描述 是否曾经想过快速找到瓦尔多? 该项目使用带有Inception 的预训练和微调在图像中找到waldo 复制 要复制结果,请下载模型,设置pipeline.cfg,并使用train_command.txt中提供的命令运行模型 下一步是什么 ? 尝试识别视频中的waldo并对其进行实时标记。
[GFCTF 2021]文件查看器
rev1ve的博客
12-12 1091
思路很简单,就是phar伪协议读取文件,首要解决的就是如何上传phar文件,这里我们可以利用报错日志error.txt,phar内容当成文件名传入,那么error.txt就会出现我们传的内容,如果我们再利用伪协议和特殊的过滤器去读取error.txt,即可实现得到序列化的字符串;当utf-8转换为utf-16le时,每一位字符后面都会加上一个\0,这个\0是不可见的,当将utf-16le转换为utf-8的时候,只有后面有\0的才会被正常转换,否则变为乱码。dirsearch扫出来有源码泄露。
[GFCTF 2021]where_is_shell
沈理大学牲的博客
11-13 414
在ROP攻击中,攻击者利用程序中存在的这种gadget,通过精心构造的数据将程序控制流引导到这个gadget,从而实现对程序行为的控制。通常情况下,攻击者会将需要的参数放置在栈上,然后利用ROP链将控制流引导到 "pop rdi;ret" 这样的gadget,将参数加载到合适的寄存器中,然后再执行调用目标函数的ret指令。在x86_64架构中,这个gadget的作用是从栈中弹出一个数值,并将其赋值给RDI寄存器,然后进行返回。先覆盖到地址,然后执行ret,ret用来返回弹出的地址,然后执行pop_rdi;
【PWN · 总结】system返回shell(‘/bin/sh‘、‘sh‘、$(0))
Mr_Fmnwon的博客
05-31 2838
pwn题中要通过system/excute等返回shell,进而cat flag。今天遇到一题,参数$(0)也可返回,有必要记录一下。
NSSCTF刷题笔记pwn9——[GFCTF 2021]where_is_shell
qq_45692883的博客
02-02 415
然后首先要注意这是64位的程序,参数会依次存放在rdi,rsi,rdx,rcx,r8,r9这6个寄存器中,多的存放在栈中。$0也是可以被当做shell执行的,因此我们去掉前面一位,取出shell的地址是0x400541。然后我们还需要一个ret的地址,否则本地能打通,远程打不通。存在一个提示函数,代码报红,说明存在问题,看一下机械码。有system函数,但是不存在/bin/sh字符串。可以看到\x24 \x30对应的是$0。main函数,存在很明显的栈溢出。找到地址 0x4005e3。
[GFCTF 2021] day2
qq_62046696的博客
05-07 879
template需要就是传进去index.html,这样才会调用listdata这个方法。--源码藏在上层目录xxx.php.txt里面,但你怎么才能看到它呢?发现会调用listdata方法并且需要我们传参 action module。$dir需要是admin,是space传进来的,所以space=admin。/template/admin/ 首先代码中有这一个目录,访问看一下是啥。template也就是filename需要是 index.html。则需要满足 $p存在也就是,在这里需要一个键和值,
[GFCTF 2021]文件查看器(GZ、过滤器、phar) day4
qq_62046696的博客
05-10 591
打开界面直接一个登录界面,直接admin/admin登录进去。进来之后发现是一个文件查看器的功能随便输入了点东西发现了报错,然后读取文件的功能,输入Files.classs.php发现读取不成功换了个index.php大概的意思就是new 传入一个类,然后调用类中的方法,推断肯定有别的源码,果断扫目录发现www.zip,里面有几个php文件,然后可以看到每个类中都有几个魔法函数,说明肯定是用他们一起然后构造一个pop链,大致拼接了一下这里有一个点就是)();
os_support.rar_This Is the Place
09-23
File: os_support.h This is the (tiny) OS abstraction layer. Aside math.h, this is the only place where system headers are allowed.
A_Knife_Where_Is_Heart.zip_PLC_play
09-24
hey play this fraking map
[GFCTF 2021]wordy
lzx13290757580的博客
04-21 192
用ida查看可知存在大量jmp跳转语令,编写脚本将其改为空指令。
GFCTF2021 部分WP
mumuzi的博客
11-21 4395
只写我做了的 SignIn GFCTF2021 回复GFCTF,得到base64解码即可 GFCTF{W3lc0me_t0_th3_12th_GFCTF} Misc 重生之我在A国当间谍 secret是PDU编码之后的,一句一句的解就行http://www.sendsms.cn/pdu/ 当然这里不是很多,如果是很多的话可以调用控制台来批量解密 倒数第二句:真让人无语。我把密码告诉你,记住,这个密码不要告诉任何人。WzFlNHJsMFwvZQ== 得到密码 [1e4rl0/e 解压出来是一张被撕毁的二维码
2021GFCTF
unexpectedthing的博客
07-07 1545
GFCTF2021
[红明谷CTF 2021]write_shell
yym68686
10-22 615
[红明谷CTF 2021]write_shell 打开网页,发现源代码: <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!');
【linux】无root权限下载7z解压软件并安装到指定路径
最新发布
weixin_44502754的博客
06-03 452
【linux】无root权限下载7z解压软件并安装到指定路径
RHCE (Linux进阶) Ubuntu 操作系统安装教程
2302_76161836的博客
06-02 430
学会安装ubuntu操作系统
ci where_in 字符串怎么处理
05-27
如果要在"ci where_in"函数中处理字符串,可以将字符串转换为数组,然后将数组传递给函数。例如: ``` $string = "apple,orange,banana"; $array_of_values = explode(",", $string); $this->db->where_in('column_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值