ciscn_2019_es_2——wp

最新推荐文章于 2024-07-25 16:30:40 发布
最新推荐文章于 2024-07-25 16:30:40 发布
阅读量833 收藏
点赞数 2
文章标签: elasticsearch 大数据 big data
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuaohu123/article/details/122115748
版权
  1. ciscn_2019_es_2——wp

查看程序,32位程序,开启了NX。
在这里插入图片描述

拖入IDA反汇编。
Main主函数:
在这里插入图片描述

Hack函数:存在system函数,但不能直接得到flag。
在这里插入图片描述

Vul函数:
在这里插入图片描述

发现s距离ebp为0x28个字节,而read函数只能输入0x30个字节大小的数据,所以垃圾数据只能刚好填充到ret,而不能改变ret的值,因此不能栈溢出。现在这种情况应该用栈迁移,先构造rop链,写入system(/bin/sh),然后再通过栈迁移到我们写入的地方,最后getshell。所以我们需要解决的问题有:1.知道我们写入数据的地址,2.构造rop链。
第一个问题,我们写入数据的地址即参数s在栈上的地址=ebp-偏移量。(1).获得ebp指针的地址:vul函数刚好有两次输入和printf输出,可以通过第一次输入输出获得ebp地址(printf函数在输出时遇到’\0’会停止,那么我们可以将s参数填满,这样就没法在尾部添上’\0’)。(2)偏移量由pwndbg调试出为0x38(我还没搞明白pwndbg)。
在这里插入图片描述

第二个问题,构造payload。这里用leave_ret(leave_ret的地址随便找一个就可以)来进行栈迁移。
在这里插入图片描述

第一个’aaaa’随便输,这里是因为用leave_ret进行迁移时esp会+4字节。然后输入system函数的地址,再后面的’aaaa’为system的返回地址。然后p32(ebp_addr-0x28)+’/bin/sh\x00’)即跳到ebp-0x28的地址上写入’/bin/sh\x00’。再将s参数的0x28空间补齐,然后在ebp_addr的地址上写为参数s的地址即ebp_addr-0x38,最后加上leave_ret的地址。

栈迁移
leave
//move esp ebp 将ebp指向的地址给esp
//pop ebp 将esp指向的地址存放的值赋值给ebp(然后esp+4)
ret
//pop eip 将esp指向的地址存放的值赋值给eip

栈迁移的过程(萌新自己作图可能有错的地方)
在这里插入图片描述

在这里插入图片描述
最终的exp
在这里插入图片描述萌新的·第一篇小水文。

the0hu
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
BUU刷题记录(三)
山高路远
04-10 3065
buu——pwn学习 十、铁人三项(第五赛区)_2018_rop checksec一下,开启了nx保护,然后拖入ida 呃。。。应该就是比较熟悉的rop的构建了,直接上exp吧,这类题目做挺多的了: 十一、gyctf_2020_borrowstack 先做下这题,一直想完整的了解栈迁移,借着这题真正的掌握栈迁移的手法和知识点吧,先checksec一下,再拖入ida分析 里面很简单,没有什么复杂的函数,很适合借此了解栈迁移!首先read函数读取的字节数不够,只能够刚好覆盖返回地址。第二输入点的位置是b
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1292
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
攻防世界php2_攻防世界-web -高手进阶区-PHP2
weixin_39568232的博客
12-19 290
题目首先发现源码泄露/index.phps查看源代码即:if("admin"===$_GET[id]) {echo("not allowed!");exit();}$_GET[id] = urldecode($_GET[id]);if($_GET[id] == "admin"){echo "Access granted!";echo "Key: xxxxxxx ";}?>Can you an...
2023年春秋杯网络安全联赛冬季赛——WP
ASD830的博客
01-24 1万+
我感觉这次春秋杯难度不小,只出了三道题,第163名,呜呜呜~~~QAQ只出了一道Misc和可信计算部分。
pwn——栈迁移
m0_64195960的博客
07-13 357
栈迁移的基础知识,例题看完也能有所收获
CTF题记——BUU刷题
m0re's blog
08-16 1704
本文目录[护网杯 2018]easy_tornado[CISCN2019 华北赛区 Day2 Web1]Hack World [护网杯 2018]easy_tornado 三个文件,内容如下: /flag.txt /flag.txt flag in /fllllllllllllag /welcome.txt /welcome.txt render /hints.txt /hints.txt md5(cookie_secret+md5(filename)) 首先分析浏览了所有的信息。(源码也没什
2021-09-13 BUUCTF PWN
m0_56897090的博客
09-13 234
2021-09-13 BUUCTF PWN 文章目录2021-09-13 BUUCTF PWNciscn_2019_final_30x00 题目分析0x02 利用思路0x02 EXPhitcon2014_stkof0x00 题目分析0x01 利用思路0x02 EXPhitcontraining_heapcreator0x00 题目分析0x01 利用思路0x02 EXP0CTF-2017-BABYHEAP0x00 题目分析0x01 利用思路0x02 EXPN1BOOK-note0x00 题目分析0x01 利
buuoj Pwn writeup 166-170
yongbaoii的博客
06-03 246
166 picoctf_2018_echo back 167 168 169 170
BUUCTF刷题记录(持续更新中~)
热门推荐
xiaolong22333的博客
04-03 5万+
之前陆陆续续做过一些题,但都没有记录,这次打算巩固一下,记录下来。 .
赛点资源数据包_嵌入式_2019.zip
06-28
赛点资源数据包_嵌入式_2019.zip是一个针对嵌入式领域的学习资料集合,旨在帮助开发者深入理解和掌握嵌入式系统的关键技术和最新趋势。 首先,我们要理解什么是嵌入式系统。嵌入式系统是嵌入到其他设备或系统中的...
gl_code.rar_V2 _opengl es_opengl es 2.0
09-24
OpenGL ES 2.0 code for Linux v2.13.6.
2019年欧洲车身会议蔚来ES8_Benchmark数据.pdf
01-21
2019年欧洲车身会议蔚来ES8_Benchmark数据
Elasticsearch 中国开发者调查报告_2019.pdf
12-20
2010年 Elasticsearch 首个...为了深入了解 Elasticsearch 开发者群体的现状,2019 年 11 月,Elastic 技术社区、阿里巴巴 Elasticsearch 技术团队和阿里云开发者社区三方联合发起了 Elasticsearch 开发者调研活动。
Sample6_2.rar_opengl es_opengl es 2.0
09-19
OpenGL ES 2.0 3D eaample
skywalking-3-存储改为elasticsearch
小小郭
07-25 452
使用banyandb的standalone模式时,文件是存储到/tmp目录下,有点不方便,还是改回用es吧。
Activiti 6 兼容openGauss数据库bytes类型不匹配
cainiaofeitian的专栏
07-25 311
然后去找了一下postgre 数据库类型跟jdbc的类型对照,bytea对应的是binary,找到resource.xml(位置是org.activiti:activiti-engine:6.0.0/org.activiti/db/mapping/entity/Resource.xml),批量插入的sql把jdbcType修改为binary,重启项目,还是报错。byte_字段是act_ge_bytearray表的,openGauss里的类型是bytea,类型是匹配的。
ElasticSearch(五)— 文本分析与分词
最新发布
敲代码的小小酥的博客
07-25 786
文本分析( analysis )是在文档被发送并加入倒排索引之前,Elasticsearch 在其主体上进行的操作。在文档被加入索引之前,Elasticsearch 让每个被分析字段经过一系列的处理步骤。Elasticsearch 首先运行字符过滤器(char filter)。这些过滤器将特定的字符序列转变为其他的字符序列。这个可以用于将 HTML 从文本中剥离,或者是将任意数量的字符转化为其他字符(也许是将“I love u 2”这种缩写的短消息纠正为“I love you too”。
elasticsearch全接触-面试宝典-知识大全
jylee的博客
07-24 1175
Elasticsearch 是一个分布式、高扩展、高实时的搜索与数据分析引擎。它能很方便的使大量数据具有搜索、分析和探索的能力。充分利用Elasticsearch的水平伸缩性,能使数据在生产环境变得更有价值。Elasticsearch 的实现原理主要分为以下几个步骤,首先用户将数据提交到Elasticsearch 数据库中,再通过分词控制器去将对应的语句分词,将其权重和分词结果一并存入数据,当用户搜索数据时候,再根据权重将结果排名,打分,再将返回结果呈现给用户。
logstash 无法创建索引_全文搜索引擎——ElasticSearch
05-16
1. Elasticsearch 集群不可用:检查 Elasticsearch 集群是否正在运行,并且 Logstash 能够连接到 Elasticsearch。 2. 索引名称已经存在:确保 Logstash 未尝试使用已经存在的索引名称。如果索引名称已存在,可以...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值