攻防世界PWN新手练习区——cgpwn2

最新推荐文章于 2024-07-12 10:31:01 发布
最新推荐文章于 2024-07-12 10:31:01 发布
阅读量312 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smsyz2019/article/details/106312293
版权
本文介绍了32位程序中通过分析ida发现gets函数无限制输入,计算出偏移值42。接着寻找并利用system函数,由于未找到'/bin/sh'字符串,故构造payload通过fgets将name变量设为'/bin/sh',利用栈溢出和00截断启动shell。最后编写payload成功获取目标权限并读取flag。
摘要由CSDN通过智能技术生成

攻防世界PWN新手练习区——cgpwn2


首先检查文件的有哪些保护 

checksec cgpwn2

在这里插入图片描述
32位程序
用IDA反编译文件
在这里插入图片描述
main函数中只有hello函数,点击查看
在这里插入图片描述
整个函数看起来是在进行某种算法,但关键点在于return gets(&s)这里
gets函数是没有任何输入限制的,显然可以利用。
运行程序来计算偏移值
在这里插入图片描述
偏移值为42
接下来就需要寻找可利用函数
在这里插入图片描述plt表中有system函数可以直接调用,system=0x08048420
在字符串界面(shift+F12)寻找有没有类似/bin/sh,$0的字符

最低0.47元/天 解锁文章
smsyz2019
关注
专栏目录
oracle 年份值需介于,为帆软报表准备数据集,oracle库,报错ORA-01841:(完整)年份值必须介于-4713...
weixin_39560924的博客
04-03 498
SELECT distinct B.C_STORE_ID,sum(casewhen add_months(to_date('${YEAR}' || '-' ||Lpad('${MONTH}', 2, '0'),'YYYY/MM'),-12) > trunc(to_date(b.datebegin, 'yyyy/mm/dd'),'mm') thencasewhen add_months(to_...
导数据问题处理ORA-01841: (完整) 年份值必须介于 -4713 和 +9999 之间, 且不为 0
weixin_53716087的博客
05-12 1701
2023/05/12 10:17:12 - 表输入.0 - at org.pentaho.di.trans.steps.tableinput.TableInput.processRow(TableInput.java:148)2023/05/12 10:17:12 - 表输入.0 - at org.pentaho.di.core.database.Database.getRow(Database.java:2760)
攻防世界 cgpwn2
最新发布
weixin_73399382的博客
07-12 1054
看到这fgets读取我们的输入到name中,因为程序没留shell,我们可以直接传入/bin/sh这个系统的默认shell,又因为下面使用gets从s中读取,我们可以使用让s溢出返回我们在name里面传入的默认/bin/sh。下面这个是利用plt查找system在got表中的地址,以后程序开启地址随机化的话函数的地址是变化的,就需要这么来找。s的内存空间+0处start到s需0x26字符,r是偏移指针到start处需0x4字符。system函数的地址我们刚才已经找到了,可以直接写脚本了。
oracle 年份值需介于,ORA-01841: (完整) 年份值必须介于 -4713 和 +9999 之间, 且不为 0...
weixin_34736362的博客
04-03 6554
对于一个日期型的列,进行操作的时候或当成某个条件的时候,有时会报错:ORA-01841: (完整) 年份值必须介于 -4713 和 +9999 之间, 且不为 0应该是日期的年份超过了9999导致的,下面是我的实验:SQL> select sysdate+7990*365 from dual;SYSDATE+7990*365----------------9998-10-09 10:20SQ...
完整年份值必须介于_「韭菜视角」浅谈期权的Delta值和Gamma值
weixin_34385935的博客
01-12 564
的图片来源:pixabay自本周起开设【韭菜视角】专栏,每周更新一次,旨在通过展示宏观的和衍生品方面的知识观点,以期为广大读者提供参考。专栏作者:GYOUMLRGY诸葛就是不亮的学生,略懂一些宏观的和衍生品方面的知识。期权的价格波动是非线性的,了解期权的几个希腊之母,有助于理解这个非线性。如果你做的是超短线,那么就必须理解Delta值和Gamma值,否则你根本就不知道期权的价格波动和对应现货标的的...
ORA-01841: (完整) 年份值必须介于 -4713 和 +9999 之间, 且不为 0
weixin_44483079的博客
10-12 1806
ora-01841
攻防世界pwn新手练习——level0
smsyz2019的博客
10-31 1673
这是一个简单的利用栈溢出漏洞进行简单的ROP 下载附件,将程序放进虚拟机中 拿到程序首先检查程序开启了什么保护,输入 checksec 程序名称 checksec level0 可以看到这是一个64位程序,只开启了NX保护。NX保护简单来说就是代码不可执行。 例如你向栈上输入一段shellcode,那么NX保护就是防止这个shellcode的执行。 具体内容和其他的程序保护可以参考这个博客。l...
攻防世界pwn新手练习cgpwn2
BurYiA的博客
03-26 520
题目链接 分析 我们来看这道题,首先checksec并运行一下 可以看到是32位程序,有两个输入点,保护只有 NX。 接下来我们在ida中看看分析。在hello函数的最后我们可以看到这些东西 这就是程序给我们的两个输入点,可以看到第二个是 gets ,那就很方便了,直接溢出利用就行,翻看其他函数我们可以发现有一个system函数 很遗憾的是只有system函数而没有我们需要的shellco...
攻防世界 pwn 新手练习 level2
ChaoYue_miku的博客
07-05 957
题目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’ ** 0、使用file命令查看文件类型,使用checksec查看保护情况,尝试打开文件 ** 32位ELF文件,开启了NX保护和部分地址随机化 (其实checksec就有包含了file的功能) ** 1、使用IDA32 Pro打开文件 ** 题目描述中有提示:面向返回的编程(ROP),所以就要寻找并构造ROP链。 首先查看main()函数 发现有一个vulnerable_function()函数,点进去看一下
攻防世界 pwn 新手练习 level0
ChaoYue_miku的博客
07-01 588
题目来源: XMan 题目描述:菜鸡了解了什么是溢出,他相信自己能得到shell 0、根据题目描述,猜测是栈溢出漏洞,使用checksec检查保护机制,同时运行一下文件。 64位文件,开启了NX保护 1、使用IDA 64 Pro打开文件 read()函数明显存在栈溢出漏洞,buf距离栈底0x80个字节,然而read函数可以读取0x200个字节,查看一下栈结构。 这里可以覆盖返回地址,执行需要的函数 发现存在callsystem()函数,将返回值跳转到这个函数,可以直接getshell, 查看一下函数地址
ORA-01841: (完整) 年份值必须介于 -4713 和 +9999 之间, 且不为 0情况解决
热门推荐
愿我如星君如月 ... 夜夜流光相皎洁 ...
03-07 4万+
1. 报错:ORA-01841: (完整) 年份值必须介于 -4713 和 +9999 之间, 且不为 0 2. 我的sql是: <!-- 查询 推荐下载记录 --> <select id="selectAllRecommendRecord" parameterType="RecommendRecord" resultMap="RecommendRecordR...
oracle 年份值需介于,ORA-01841: (完整) 年份值必须介于 -4713 和 +9999 之间, 且不为 0情况解决...
weixin_31473011的博客
04-03 3458
1. 报错:ORA-01841: (完整) 年份值必须介于 -4713 和 +9999 之间, 且不为 02. 我的sql是:SELECTdistinct(theUser.ACCOUNT) AS ACCOUNT,theUser.id AS ID,theUser.REGISTER_DATE AS REGISTER_DATE,theUser.PROVINCE AS PROVINCE,theUser.R...
mysq基础3-数据表分
书山有路勤为径,学海无涯苦作舟
01-10 176
1. 索引和分和索引作为一个常见的数据库效率提高手段。本文基于实际场景进行简单的分析和整理。 索引和分的关系 mysql分后每个分成了独立的文件,虽然从逻辑上还是一张表其实已经分成了多张独立的表,由于Innodb数据和索引都是保存在".ibd"文件当中(从INNODB_SYS_INDEXES系统表中也可以得到每个索引都是对应各自的分(primary key和unique也不例外)),所以分表的索引也是随着各个分单独存储。 在INNODB_SYS_INDEXES系统表中: type代表
三种线性排序算法:计数排序、桶排序与基数排序
zxj346158052的专栏
12-03 3814
[非基于比较的排序]在计算机科学中,排序是一门基础的算法技术,许多算法都要以此作为基础,不同的排序算法有着不同的时间开销和空间开销。排序算法有非常多种,如我们最常用的快速排序和堆排序等算法,这些算法需要对序列中的数据进行比较,因为被称为基于比较的排序。基于比较的排序算法是不能突破O(NlogN)的。简单证明如下:N个数有N!个可能的排列情况,也就是说基于比较的排序算法的判定树有N!个叶子结点,比较次数至少为log(N!)=O(NlogN)(斯特林公式)。而非基于比较的排序,如计数排序,桶排序,和在此基础上的
cgpwn2(xctf)
weixin_43868725的博客
05-06 370
0x0 程序保护和流程 保护: 流程: main() hello() 可以发现在hello()中存在栈溢出。 0x1 利用过程 在函数窗口中发现了system()函数,所以我们只需要字符串"/bin/sh"。就可以getshell了。仔细观察程序可以发现name变量是全局变量存放在.bss段中。 所以我们只需要向name中输入"/bin/sh",s=‘a’*(0x26+4)+p32(sys...
(完整)年份值必须介于 -4713 和+9999之间,且不为0
dianmie4090的博客
04-15 4847
今天在查询一个报表的时候 ,报以下错误 (完整)年份值必须介于 -4713 和+9999之间,且不为0 oracle标准对于时间支持的有效范围是 -4713/1/1 至 9999/12/31,若时间格式超出此范围,则会报错。 经查 是由于代码中写了 nvl(fnd_conc_date.string_to_date(parameter), nvl(validity_per...
攻防世界pwn新手题答案
08-10
回答: 对于攻防世界pwn新手题,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值