【pwn】 [极客大挑战 2019]Not Bad

最新推荐文章于 2025-03-29 15:54:59 发布
原创 最新推荐文章于 2025-03-29 15:54:59 发布 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了在极客大挑战2019的一个安全问题,涉及到0x18字节溢出和栈迁移。由于栈空间限制无法直接使用ROP,作者发现程序mmap了一块可写可执行的内存,计划通过在该内存区域写入shellcode并利用jmp rsp指令执行。策略是构造buf包含read指令和跳转shellcode,然后通过sub rsp,0x30;jmp rsp来执行buf中的代码。" 133539042,19673928,HTML元素隐藏技巧:CSS与JavaScript实现,"['HTML', 'CSS', 'JavaScript']

例行检查
在这里插入图片描述
开了沙箱
在这里插入图片描述

程序逻辑很简单,存在0x18字节溢出,看是否能进行栈迁移,目前可控输入只有buf,但是buf只有0x20大小不够rop,所以尝试别的方法。程序在最开始mmap了一块内存,可写可执行,那么接下来目标就是1.在这块内存上写shellcode
2.跳转过来执行

由于不能rop且栈是可执行的想到能不能进行jmp rsp。在程序中找到了这个指令。
在这里插入图片描述

那么就可以在buf上布置read以及跳转的shellcode。在jmp rsp时跳转到buf去执行,buf地址是rsp-0x30,sub rsp,0x30;jmp rsp小于8字节满足要求。

from pwn import *

io=remote('node3.buuoj.cn',
最低0.47元/天 解锁文章
[BUUCTF]PWN——[极客挑战 2019]Not Bad详细解释
weixin_46521144的博客
03-25 1034
从这道题可以学到shellcode的一般使用方法,和orw的一般方法 这道题开启了secure computing mood 使用seccomp看到可以使用的函数 使用vmmap查看哪里可以写shellcode IDA中也有看到使用vmmap开启了一段内存 这里mmap参数类型是(起始地址,小,保护类,文件描述符等) 我们只需要关注保护类权限 PROT_READ是0x1 PROT_WRITE是0x2 PROT_EXEC是0x4 也就是read,write,execute的顺序,那么这里是6,也就是
[BUUCTF]PWN——[极客挑战 2019]Not Bad (orw_shellcode)
mcmuyanga的博客
01-30 2901
[极客挑战 2019]Not Bad 附件 步骤
[极客挑战 2019]Not Bad刷题
qq_43766802的博客
09-28 638
检查下程序的保护措施 拖入ida发现程序打开了沙盒保护,随即用seccomp-tools工具查看下白名单 因此这题选择用orw来get flag 函数允许我们输入0x38个字节,但buf只有0x20小,并且只能溢出0x18个字节,用buf来装orw的汇编代码是绝对不够的,但程序一开始mmap了内存中的一段区域,我们可以利用这段区域来保存我们的shellcode,并发现该程序有jmp rsp,利用jmp rsp可以直接执行栈上的内容 write up from pwn import..
极客挑战_2019_Not_Bad
z1r0的博客
01-17 2989
极客挑战_2019_Not_Bad shellcode题目 mmap了一块空间,加了沙盒来个orw。 可以考虑栈迁移,但是既然可以shellcode,那就看一下怎么使用 前面mmap了一块,可以将shellcode写到mmap那里,然后借助gadget跳到mmap去执行。 刚好有一个jmp rsp这个跳板,思路就是使用jmp rsp这个跳板跳到buf头中被写入的payload。再用shellcraft.read(0, mmap, 0x100) mov rax,0x123000;call rax这两
buuoj刷题记录 - [极客挑战 2019]Not Bad
qq_34010404的博客
03-28 444
检查一下保护: 程序很简单,存在栈溢出漏洞,只能溢出16个字节。 只允许orw系统调用. 前八个字节用来jmp rsp ,紧接着加上5个字节近转移 call到buff的开始处执行. 这样就可以往buf里面写gadget来往指定地址处读入shellcode 之后跳转到shellcode把flag读出来 exp: from pwn import* #sh = process('./pwn') sh = remote('node4.buuoj.cn',29515) context.arch= 'x86_6
BUUCTF之“[极客挑战 2019]Not Bad 1”
Probeginner的博客
12-16 309
简单orw
BUUCTF [极客挑战 2019]Not Bad
最新发布
2401_85052854的博客
03-29 525
我们直接open根目录下的flag,然后把flag的内容读入到mmap中,再用write打印处mmap的值,这里解释一下为什么fd为3,因为我们是打开文件进行读入,0,1,2分别是标准输出,标准输入,标准错误,所以3之后才是打开文件的顺序,所以我们写上3.以下是完整的exp。在main看到这两个比较有用的函数,第一个函数一眼看过去就发现是有沙箱保护的,第二个函数就是正常的栈溢出函数,我们先看看程序开了什么保护。也是第一次做到沙箱的题,也熟练了一点orw的攻击方式。拿到题目放入ida,看看有什么函数。
[极客挑战 2019]Not Bad的另一种思路
chennbnbnb的博客
10-22 359
保护 漏洞 算上rbp只有0x20的溢出空间 思路1 利用jmp rsp的GG执行栈上的shellcode,这个思路用的人很多,就不再说了 思路2:不使用jmp rsp 如果需要开启shellcode,最常用的就是ret到shellcode的地址,为了获取shellcode地址,那么就有了两个选择 泄露栈地址,做不到 栈迁移到一个已知位置 通过leave指令使得rbp = 已知空间buf之后,需要在0x18长度内完成两件事情 向buf中写入exp leave+ret让rsp迁
linux_pwn(5)--ret2syscall x64&&[极客挑战 2019]Not Bad
azraelxuemo的博客
03-09 7000
What is ret2syscall ret2syscall是栈溢出里常见的一种手法,如果在x86下有int 80或者在x64中看到syscall,可以考虑利用这种攻击手法 而且现在有些题目出现沙盒,seccomp机制会ban掉一些函数,然后一般会允许使用open,read,write,就可以用读文件方法获取flag pwn题思路 一般如果看到沙盒或者出现syscall可以考虑使用这种攻击手法 例题 [极客挑战 2019]Not Bad 保护机制 看上去没有任何保护,栈可写可执行 进入之后发现有这么一
[BUUCTF-pwn]——[极客挑战 2019]Not Bad(ORW)(内涵peak小知识)
Y_peak的博客
03-31 610
[BUUCTF-pwn]——[极客挑战 2019]Not Bad 又是一道收获满满的题目. peak小知识 seccomp: seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如程序劫持程序流后通过execve的syscall来getshell。所以可以通过seccomp_init、seccomp_rule_add、seccomp_load配合来ban掉一些系统调用. seccomp-tools: 沙盒工具, 可以查看那些系统调用可以被使用, 安装在我的
[极客挑战 2019]Knife
qq_42404383的博客
08-31 342
文章目录[极客挑战 2019]Knife题目:分析:结果: [极客挑战 2019]Knife 题目: 分析: 概就是考察一句话木马获取shell 由题可知:PHP一句话木马,连一下 结果: shell就在脸上
[极客挑战 2019]Havefun1、EasySQL(BUUCTF)
HackerYY的博客
12-31 2532
[极客挑战2019]的两道水题 内附解题过程
[极客挑战 2019]LoveSQL Writeup(超级详细)
StevenOnesir的博客
11-27 3058
今天再讲一道sql的题,同样比较基础,但是相较于前面某道 1’ or 1=1#或者 1’ or ‘1’='1的题来讲要稍好一些。 首先我们玩一玩老套路,绕过登录进去看一看,发现回显: 这行数字,直观看上去像是16进制,转换一下得到: 直观看上去没有什么用 我们试一试常规的注入手段。 payload:union select 出现报错回显: 说明应该没啥过滤,老老实实爆数据库名-表名-字段就行了。 payload:1' union select * from a# 报错回显是: 所以这里相当于直接告诉
[极客挑战 2019]LoveSQL
weixin_52116519的博客
04-13 1249
考点:常规的sql注入 1、万能密码测试 2、解不了码,没用 3、但是可以注入,测试回显几个字段名,慢慢试 4、爆数据库名和用户名 5、 爆库名 6、爆表名 1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()# 7、爆列名 1' union select 1,2,group_concat(column_name) from inform
[buuoj][极客挑战 2019]Havefun
qq_42250840的博客
06-26 346
打开网址查看源码 发现一段php,看样子是要求get传递cat并且值为dog 构造?cat=dog 直接得flag
pwn】2022 极客挑战
woodwhale的博客
11-22 1736
2022 极客挑战 pwn题解
第十七题——[极客挑战 2019]BabySQL
分享简单的安全技术
04-10 200
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,提示请输入用户名和密码 第二步:使用order by确定字段数目,发现无法识别语句 第三步:使用union select确定回显位置,发现union select被过滤 第四步:使用双写绕过 将union select改写为ununionion seselectlect,from改为frfromom,where改为whwhereere用于绕过检测方法 使用union select确定回显位置:密码一
web-[极客挑战 2019]Http
wojiushilsy的博客
04-30 453
题目要点题目内容解题 题目要点 User-Agent Referer:Referer :请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。 X-Forwarded-For:可以被用来获取最初发起请求的客户端的IP地址 题目内容 解题 F12查看源码,发现一个页面。 查看页面。 添加Referer请求头:Referer:https://www.Syc...
[极客挑战 2019]web部分题解(已完结!)
m0_64670504的博客
03-19 1435
个人写的wp,欢迎斧正,热忱之心不可变哦
ciscn_2019_pwn挑战赛:破解五道经典题目解析
资源摘要信息:"ciscn-2019-pwn包含五个不同难度级别的pwn挑战题目,分别为baby_pwn、bms、daily、Double和your_pwn。这些题目要求参赛者具备扎实的二进制漏洞挖掘和利用能力,以及对操作系统底层安全的深刻理解。接...
评论 7
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值