[极客大挑战 2019]Not Bad的另一种思路

最新推荐文章于 2025-03-29 15:54:59 发布
最新推荐文章于 2025-03-29 15:54:59 发布
阅读量336 收藏 2
点赞数 1
分类专栏: pwn 文章标签: 安全 信息安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chennbnbnb/article/details/109221518
版权

保护

漏洞

算上rbp只有0x20的溢出空间

思路1

利用jmp rsp的GG执行栈上的shellcode,这个思路用的人很多,就不再说了

思路2:不使用jmp rsp

如果需要开启shellcode,最常用的就是ret到shellcode的地址,为了获取shellcode地址,那么就有了两个选择

  1. 泄露栈地址,做不到
  2. 栈迁移到一个已知位置

通过leave指令使得rbp = 已知空间buf之后,需要在0x18长度内完成两件事情

  1. 向buf中写入exp
  2. leave+ret让rsp迁移过去,并且ret开启shellcde

这也是这个思路的精华所在了

在发生溢出函数中发现,调用read时的buf变量时通过rbp+偏移量进行寻址的,而此时rbp已经被我们控制,因此只要跳转到lea这里就可以同时完成这两件事情

最低0.47元/天 解锁文章
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐家去阅读论文,且看且珍惜。
[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
【pwn】 [极客挑战 2019]Not Bad
Nothing
03-10 1195
例行检查 开了沙箱 程序逻辑很简单,存在0x18字节溢出,看是否能进行栈迁移,目前可控输入只有buf,但是buf只有0x20小不够rop,所以尝试别的方法。程序在最开始mmap了一块内存,可写可执行,那么接下来目标就是1.在这块内存上写shellcode 2.跳转过来执行 由于不能rop且栈是可执行的想到能不能进行jmp rsp。在程序中找到了这个指令。 那么就可以在buf上布置read以...
极客挑战_2019_Not_Bad
z1r0的博客
01-17 2940
极客挑战_2019_Not_Bad shellcode题目 mmap了一块空间,加了沙盒来个orw。 可以考虑栈迁移,但是既然可以shellcode,那就看一下怎么使用 前面mmap了一块,可以将shellcode写到mmap那里,然后借助gadget跳到mmap去执行。 刚好有一个jmp rsp这个跳板,思路就是使用jmp rsp这个跳板跳到buf头中被写入的payload。再用shellcraft.read(0, mmap, 0x100) mov rax,0x123000;call rax这两
BUUCTF [极客挑战 2019]Not Bad
最新发布
2401_85052854的博客
03-29 488
我们直接open根目录下的flag,然后把flag的内容读入到mmap中,再用write打印处mmap的值,这里解释一下为什么fd为3,因为我们是打开文件进行读入,0,1,2分别是标准输出,标准输入,标准错误,所以3之后才是打开文件的顺序,所以我们写上3.以下是完整的exp。在main看到这两个比较有用的函数,第一个函数一眼看过去就发现是有沙箱保护的,第二个函数就是正常的栈溢出函数,我们先看看程序开了什么保护。也是第一次做到沙箱的题,也熟练了一点orw的攻击方式。拿到题目放入ida,看看有什么函数。
BUUCTF之“[极客挑战 2019]Not Bad 1”
Probeginner的博客
12-16 280
简单orw
buuoj刷题记录 - [极客挑战 2019]Not Bad
qq_34010404的博客
03-28 415
检查一下保护: 程序很简单,存在栈溢出漏洞,只能溢出16个字节。 只允许orw系统调用. 前八个字节用来jmp rsp ,紧接着加上5个字节近转移 call到buff的开始处执行. 这样就可以往buf里面写gadget来往指定地址处读入shellcode 之后跳转到shellcode把flag读出来 exp: from pwn import* #sh = process('./pwn') sh = remote('node4.buuoj.cn',29515) context.arch= 'x86_6
[极客挑战 2019]Not Bad刷题
qq_43766802的博客
09-28 596
检查下程序的保护措施 拖入ida发现程序打开了沙盒保护,随即用seccomp-tools工具查看下白名单 因此这题选择用orw来get flag 函数允许我们输入0x38个字节,但buf只有0x20小,并且只能溢出0x18个字节,用buf来装orw的汇编代码是绝对不够的,但程序一开始mmap了内存中的一段区域,我们可以利用这段区域来保存我们的shellcode,并发现该程序有jmp rsp,利用jmp rsp可以直接执行栈上的内容 write up from pwn import..
计算机网络期中五报文分析详解
心比天高,仗剑走天涯,保持热爱,奔赴向梦想!
11-23 1万+
一 试题 实验题目编号:1 实验题目: 捕获一个IP报文。(实验1) ⑴ 写出所捕获的报文中,头部固定部分各个字段的名称和值(对照捕获到的报文,写上),并解释其含义。 版本(Version):占4位(bit),指IP协议的版本号。目前的主要版本为IPV4,即第4版本号,也有一些教育网和科研机构在使用IPV6。在进行通信时,通信双方的IP协议版本号必须一致,否则无法直接通信。 首部(报头)长度(...
Stable Diffusion Windows本地部署超详细教程(手动+自动+整合包三种方式)
热门推荐
sheex2012的博客
04-26 5万+
本文以Stable Diffusion为例,由难及易演示了手动、自动和整合包三种部署方式,并分析了这三种方式在虚拟环境创建、程序部署、数据下载部署等复杂动作的具体过程,为一键式自动部署提供了良好的借鉴,进一步促进AIGC的普惠应用。
[BUUCTF]PWN——[极客挑战 2019]Not Bad (orw_shellcode)
mcmuyanga的博客
01-30 2770
[极客挑战 2019]Not Bad 附件 步骤
[BUUCTF-pwn]——[极客挑战 2019]Not Bad(ORW)(内涵peak小知识)
Y_peak的博客
03-31 568
[BUUCTF-pwn]——[极客挑战 2019]Not Bad 又是一道收获满满的题目. peak小知识 seccomp: seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如程序劫持程序流后通过execve的syscall来getshell。所以可以通过seccomp_init、seccomp_rule_add、seccomp_load配合来ban掉一些系统调用. seccomp-tools: 沙盒工具, 可以查看那些系统调用可以被使用, 安装在我的
[BUUCTF]PWN——[极客挑战 2019]Not Bad详细解释
weixin_46521144的博客
03-25 972
从这道题可以学到shellcode的一般使用方法,和orw的一般方法 这道题开启了secure computing mood 使用seccomp看到可以使用的函数 使用vmmap查看哪里可以写shellcode IDA中也有看到使用vmmap开启了一段内存 这里mmap参数类型是(起始地址,小,保护类,文件描述符等) 我们只需要关注保护类权限 PROT_READ是0x1 PROT_WRITE是0x2 PROT_EXEC是0x4 也就是read,write,execute的顺序,那么这里是6,也就是
[buuoj][极客挑战 2019]Havefun
qq_42250840的博客
06-26 310
打开网址查看源码 发现一段php,看样子是要求get传递cat并且值为dog 构造?cat=dog 直接得flag
[极客挑战 2019]Http
xlcvv的博客
04-05 618
F12审查元素,有一个Secret.php文件: 进去瞅一眼: 翻译: 你不是从https://www.Sycsecret.com来 就是构造header: 得到flag(老是忘了google的hackbar有这个add header功能,害的我老是去burp里面做) ...
C++之多态
armwind的专栏
07-14 1339
一、多态定义 多态是每种面向对象语言的重要概念。它理解起立就是父类指针指向了子类的实例,然后通过父类指针调用实际成员函数的过程.我们知道虚函数是实现多态的重要机制。假如一个类中有虚函数,那么在类实例的首部会保存该类虚函数表的指针。注意这里针对g++编译时,虚表和虚函数表还不太一样。从前面的2篇博文家知道,在存在虚继承的情况下,虚表开始处会记录基类数据成员的偏移。虚表是类所有,虚...
[极客挑战 2019] web题-Knife
BROTHERYY的博客
07-07 281
复现环境:buuoj.cn 进入环境得到提示 白给了兄弟! 直接上菜刀或者蚁剑 连上以后直接到根目录去找!
linux_pwn(5)--ret2syscall x64&&[极客挑战 2019]Not Bad
m0_67266787的博客
03-15 1301
文章目录 What is ret2syscall pwn题思路 例题 保护机制 写payload 打开flag 读取flag 写到输出中 生成shellcode 开始做题 调用read(0,mem,0x1000)把我们真正的shellcode写道mem 调试是否可以往mem写shellcode 往mem填写读取flag的shellcode 总结 What is ret2syscall ret2syscall是栈溢出里常见的一种手法,如果在x86下有int 80或者在x64中看到s
极客挑战 2019 PHP
01-03
### 极客挑战 2019 PHP 比赛详情 #### 文件上传与图片马利用 在极客挑战2019中,存在一道涉及文件上传漏洞的题目。攻击者可以通过特定技术手段绕过服务器端的安全检查机制来实现恶意代码的上传并执行。具体来说,通过文件头及文件内容检测的方式,将后缀名为`.jpg`的文件成功上传至服务器[^3]。 为了进一步提升攻击效果,还可以采用DOS命令组合不同类型的文件创建所谓的“图片马”。例如使用如下命令: ```bash copy 1.jpg/a+php.php/b php.jpg ``` 此操作会把一张正常图像文件同包含PHP脚本的内容合并成一个新的复合文件,在某些配置不当的服务环境中能够被执行从而达到远程控制的目的。经过测试确认,除了常见的`.php`扩展名外,像`.phtml`这样的变种同样会被解释器识别处理。 #### SQL注入技巧探讨 一类值得关注的是关于SQL注入方面的考察点。对于可能存在此类风险的应用程序接口而言,了解如何根据返回错误提示推测数据库查询结构是一项重要技能。当面对含有多个参数的情况时,则需尝试分别提交诸如整数、字符串等形式的数据片段去观察响应变化规律,进而推断出完整的SQL表达式构成模式[^4]。 ```sql SELECT * FROM users WHERE id = '1' AND username='admin' ``` 上述例子展示了基本形式下的条件拼接逻辑;而在实际竞赛场景里,选手们往往要应对更复杂多样的情形,比如嵌套子查询或者联合查询等高级语法应用场合下所引发的各种异常状况分析工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值