CTF-PWN-【system中的小要求】

已于 2023-11-16 15:39:39 修改
阅读量119 收藏
点赞数
分类专栏: CTF-PWN-前置 文章标签: 网络安全 安全 系统安全
于 2023-10-15 18:41:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/llovewuzhengzi/article/details/133845908
版权

system中的小要求

参考某位语雀大佬

把libc文件在IDA中显示
但不同libc文件可能不会存在这个问题

__int64 __fastcall system(__int64 a1)
{
  if ( a1 )
    return sub_44E20(a1);
  else
    return (unsigned int)sub_44E20((__int64)"exit 0") == 0;
}
对应汇编形式

.text:0000000000045390 ; __unwind {
.text:0000000000045390                 test    rdi, rdi     test是与操作,即参数非0即可执行参数对应命令
.text:0000000000045393                 jz      short loc_453A0
.text:0000000000045395                 jmp     sub_44E20
.text:0000000000045395 ; ---------------------------------------------------------------------------
.text:000000000004539A                 align 20h
.text:00000000000453A0
.text:00000000000453A0 loc_453A0:                              ; CODE XREF: system+3↑j
.text:00000000000453A0                 lea     rdi, aExit0     ; "exit 0"  如果参数为0会执行 exit 0命令
.text:00000000000453A7                 sub     rsp, 8
.text:00000000000453AB                 call    sub_44E20
.text:00000000000453B0                 test    eax, eax
.text:00000000000453B2                 setz    al
.text:00000000000453B5                 add     rsp, 8
.text:00000000000453B9                 movzx   eax, al
.text:00000000000453BC                 retn
.text:00000000000453BC ; } // starts at 45390
.text:00000000000453BC system          endp

打开其中的sub_44E20
.text:0000000000044E20 ; __unwind {
.text:0000000000044E20                 push    r12
.text:0000000000044E22                 push    rbp
.text:0000000000044E23                 xor     eax, eax
.text:0000000000044E25                 push    rbx
.text:0000000000044E26                 mov     ecx, 10h
.text:0000000000044E2B                 mov     rbx, rdi
.text:0000000000044E2E                 mov     esi, 1
.text:0000000000044E33                 sub     rsp, 170h
.text:0000000000044E3A                 lea     rbp, [rsp+188h+var_B8]
.text:0000000000044E42                 mov     [rsp+188h+var_B8], 1
.text:0000000000044E4E                 mov     [rsp+188h+var_30], 0
.text:0000000000044E59                 lea     rdx, [rbp+8]
.text:0000000000044E5D                 mov     rdi, rdx
.text:0000000000044E60                 rep stosq
.text:0000000000044E63                 cmp     cs:dword_3C9740, 0
.text:0000000000044E6A                 jz      short loc_44E78
.text:0000000000044E6C                 lock cmpxchg cs:dword_3C64A0, esi
.text:0000000000044E74                 jnz     short loc_44E81
.text:0000000000044E76                 jmp     short loc_44E9B
.text:0000000000044E78 ; ---------------------------------------------------------------------------
.text:0000000000044E78
.text:0000000000044E78 loc_44E78:                              ; CODE XREF: sub_44E20+4A↑j
.text:0000000000044E78                 cmpxchg cs:dword_3C64A0, esi
.text:0000000000044E7F                 jz      short loc_44E9B
.text:0000000000044E81
.text:0000000000044E81 loc_44E81:                              ; CODE XREF: sub_44E20+54↑j
.text:0000000000044E81                 lea     rdi, dword_3C64A0
.text:0000000000044E88                 sub     rsp, 80h
………………………………………………下面还有很多在这里就不显示了

大佬说这个函数的末尾有movaps指令为
movaps[rsp+198h+var_158],xmmo
(我们可以直接在IDA中的system区域搜索该指令是否存在)
这个指令要求 rsp+198h+var_158的值的十六进制形式为0x10的整数倍,否则无法getshell

方法:
1.改变payload长度,(局部变量入栈,栈长度改变)使得rsp值改变
2.利用ret使得rsp+1
3.使用其他gadget从而影响rsp
4.栈转移 当playload长度有限制,然后继续尝试该变rsp的方法
5.调用execve这个要三个参数要求较高

看星猩的柴狗
关注
专栏目录
CTF之web学习记录 -- 命令注入
lifanxin的博客
07-04 1374
命令注入概述常见攻击方式使用管道符号escapeshellarg和escapeshellcmd命令执行漏洞修复总结 概述   web服务器后端代码有时会调用一些执行系统命令的函数,以常见的php语言为例,使用system/exec/shell_exec/passthru/popen/proc_popen等函数可以执行系统命令。因此一旦我们可以控制这些函数的参数时,就可以将恶意的系统命令拼接到正常命令,从而造成命令执行攻击,这就是命令执行漏洞。 常见攻击方式 使用管道符号   我们以一段简单的php代码为
2023年春秋杯冬季赛-部分赛题Wp
xccwxy的博客
01-23 2371
题目序号 可信计算(基于挑战码的双向认证1、基于挑战码的双向认证2)
2024年春秋杯冬季赛-部分赛题Wp_勒索流量ichunqiu,2024网络安全大厂面试集合
2401_83621541的博客
04-17 905
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
[ctf web]system函数详解[php命令执行函数][web渗透]
最新发布
Lhy1963245411的博客
07-18 237
return_var:可选参数,整数类型,如果提供此参数,则command命令执行之后的返回状态会被放置到return_var函数内。返回0表示执行成功,返回1表示执行失败。command:必选参数,字符类型,被system函数执行的命令,如ls。system函数简介:用于执行命令。system函数默认有回显。
[BMZCTF-pwn] 47-gactf2020-student_manager
weixin_52640415的博客
02-22 146
hook动态刷新,本以为不难,将free_hook改为system再free后发现没了。搜到exp才第一次知道动态刷新。 只能建0x24, 结构:+0:4字节score, +0x18:7字节name, +0x20:4字节id(相当于索引,通过id查) 解题思路: 先获得堆地址,由于有UAF,释放两个再show就行 通过doublefree将块建到tcache+8,在这里写0xFF (tcache 0xb0块计数器) 在第1个块+0x18位置写个b1(剩余半块和后边3个0x31一起释放得到libc)
[BUUCTF-pwn] inndy_petbook
weixin_52640415的博客
01-27 689
写着写着自己都乱了。 菜单很长,块也很大看起来极不方便。 先是建用户和登录这个没啥,然后就是post,每个post会有一个管理块。整理一下大概关系是这样的: 用户块0x220->0x20->0x120->post信息,其用户块没有溢出,但post有realloc修改,好像就这一个漏洞点。 另外每个头上加了migic:2字节序号+2字节校验。这个可以泄露但如果序号在0x100以下会被截断,所以要先建256块再泄露。 主要思路: 建用户登录 建255个小块(用户也占用块序号)将块
WEB ---- ctfshow ----命令执行
L0g1c的博客
07-28 377
得到的是Base64编码文件,然后进行Base64解码。将flag.php复制到1.txt文件内。可以用来代替零个、单个或多个字符,而。表示匹配的数量不受限制,而。仅可以使用代替一个字符。的匹配字符数则受到限制。采用嵌套eval执行。进行了Base64编码。可以采用通配符来代替。.........
CTF Web入门 命令执行 笔记
m0_57162109的博客
10-23 792
CTF Web入门 命令执行笔记
ctfshow 命令执行
..
01-05 3443
web29 这题的话还是比较基础的,考点是通配符和eval函数,要求传入的c不能有flag这四个字母,我们可以用通配符?来绕过,即fla?.php 通配符_百度百科 然后可能有的师傅想直接c=system('tac fla?.php'),这样子的话是没有返回值的,还是得好好看php文档eval函数的介绍。PHP: eval - Manual 需要echo system('tac fla?.php');才能得到回显,所以payload是 ?c=echo system('.
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
BugkuCTF-PWN题canary超详细讲解
am_03的博客
08-31 2310
知识点 小端序说明,数据在内存里是如何存储的?下表里数据都为16进制 解题流程 题目Hint:更新 LibcSeacher 的 libc-database checksec查看保护机制 0x28=40 0x10=16 0x29=41 0x300=768 0x2C=44 buf长度为48,而read读取长度为768 v5长度为520,而read读取长度为768 所以存在栈溢出漏洞 from pwn import * #sh = process('./pwn4_') #context.log_lev
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4231
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
ctf-pwn-堆-调试
xy_369的博客
05-20 487
写这篇文章的目的是更好地去理解堆,不要只停留在理论知识阶段注:读这篇文章需要一定基础,不然读起来很费劲或读不懂,要是有ctf-pwn手的基本基础,只是缺乏堆这一块的知识,可以先把这篇文章读完,大致了解哪些地方写了哪些知识点,同时结合一些堆相关的链接去快速掌握堆在计算机内存的运作方式。
ctf-pwn-堆—unsorted bin attack
xy_369的博客
05-23 300
上面只需要知道unsorted bin实现了将栈上的一个变量值变为了main_arena结构体的一个地址,这句话仅出于个人理解,从参考链接2里得到的理解。1、个人翻译过后的代码(翻译自参考链接2)3、删除部分打印函数的代码。
buuctf刷题 system参数取后面部分 shellcode House of Force 格式化泄漏base和libc unlink
carol2358的博客
07-19 516
wustctf2020_getshell_2 wustctf2020_getshell_2 有system和奇怪的参数,用参数的后面部分sh就好 ida里按g可以找地址 exp: from pwn import * from LibcSearcher import * local_file = './wustctf2020_getshell_2' local_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so' remote_libc =
CTF-命令执行
YkingH的博客
07-10 847
CTF-命令执行 什么是RCE RCE英文全称:remote command/code execute,RCE又称远程命令/代码执行 远程代码执行是指程序代码在处理输入输出的时候没有收到严格的控制,导致用户可以构造参数;包含有恶意代码的命令或者其他代码在服务器上执行。进而获取服务器权限、信息等,是发生在应用程序的逻辑层上的安全漏洞。 远程命令执行分为远程命令执行ping和远程代码执行evel等 命令注入和命令执行的区别: 命令注入:是靠各种手法在本来执行的地方进行绕过 命令绕过:是靠执行不可靠的函数导命令执
CTF命令执行的常见姿势
weixin_40103894的博客
09-28 1560
1.**cat fl[abc]g.php ** //匹配[abc]的任何一个。11.**vi **–使用vi打开文本cat 由第一行开始显示内容,并将所有内容输出。1.**wh\o\ami ** //反斜线绕过。3.**cat fla* ** //用*匹配任意。3.**whoa’m’i ** //单引号绕过。4.**whoam``i ** //反引号绕过。8.**nl **–类似于cat -n,显示时输出行号。
ctfd-pwn赛题收集
10-23
ctfd-pwn是一个非常受欢迎的CTF(Capture The Flag)比赛的一个赛题类型,它主要涉及二进制漏洞的利用和系统安全的挑战。 在ctfd-pwn赛题的收集过程,通常需要考虑以下几个方面: 1. 题目类型:ctfd-pwn赛题可以包含多种类型的漏洞,例如缓冲区溢出、格式化字符串漏洞、整数溢出等。在收集赛题时需要确保涵盖各种漏洞类型,增加题目的多样性和挑战性。 2. 难度级别:赛题的难度级别应该根据参赛者的水平来确定。可以设置多个难度级别的赛题,包括初级、级和高级,以便参赛者可以逐步提高自己的技能。 3. 原创性:收集ctfd-pwn赛题时应尽量保持赛题的原创性,避免过多的抄袭或重复的赛题。这有助于增加参赛者的学习价值,同时也能提高比赛的公平性。 4. 实用性:收集的赛题应该具有实际应用的意义,能够模拟真实的漏洞和攻击场景。这样可以帮助参赛者更好地理解和掌握系统安全的基本原理。 5. 文档和解答:为每个收集的赛题准备详细的文档和解答是很有必要的。这些文档包括赛题的描述、利用漏洞的步骤和参考资源等,可以帮助参赛者更好地理解赛题和解题思路。 6. 持续更新:CTF比赛的赛题应该定期进行更新和维护,以适应不断变化的网络安全环境。同时也要根据参赛者的反馈和需求,不断收集新的赛题,提供更好的比赛体验。 综上所述,ctfd-pwn赛题的收集需要考虑赛题类型、难度级别、原创性、实用性、文档和解答的准备,以及持续更新的需求。这样才能提供一个富有挑战性和教育性的CTF比赛平台。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

看星猩的柴狗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值