NSSCTF刷题笔记pwn9——[GFCTF 2021]where_is_shell

原创 已于 2024-02-02 17:58:19 修改 · 901 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#笔记

于 2024-02-02 16:47:15 首次发布
本文描述了在64位程序中通过栈溢出和栈迁移技术,利用ROP(Return-OrientedProgramming)找到系统调用地址并构造payload的过程,最终实现远程shell执行。作者使用了`pwn`库中的函数来执行攻击并展示了两种不同的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

main函数,存在很明显的栈溢出

有system函数,但是不存在/bin/sh字符串

存在一个提示函数,代码报红,说明存在问题,看一下机械码

可以看到\x24 \x30对应的是$0

$0也是可以被当做shell执行的,因此我们去掉前面一位,取出shell的地址是0x400541

然后首先要注意这是64位的程序,参数会依次存放在rdi,rsi,rdx,rcx,r8,r9这6个寄存器中,多的存放在栈中

首先使用ROPgadget获取pop rdi的地址

找到地址 0x4005e3

然后我们还需要一个ret的地址,否则本地能打通,远程打不通

最低0.47元/天 解锁文章

200万优质内容无限畅学
ctfshow笔记—栈溢出—pwn53~pwn56
Yilanchia的博客
02-19 781
它先循环读取,每次一个字节,直到读取到换行符(ascll:10 0xa),循环读取才会结束,__isoc99_sscanf(v2,”%d”,&nbytes)这个函数从v2中读取一个整数,存放到nbytes变量中,这个变量决定了我们能够向buf写入的数据大小,我们想要造成溢出,这个数据就需要大一点,接下来,就去比较s1与global_canary是否相同,相同这个函数才能正常返回,造成溢出。,应该需要找到flag之间的关系。主要是提示用户输入数据,输出欢迎信息并让用户输入密码,进行比较,以便执行flag。
ctfshow笔记—栈溢出—pwn65~pwn68
Yilanchia的博客
03-09 764
首先这道并没有开启NX,我们任然可以注入shellcode,但是我们拟在 var_1010 中写入shellcode的地址并执行,因为程序最后读取了一个地址然后执行,这里可以执行shellcode,但是shellcode的参数写在哪里呢,似乎seed是个不错的选则,但是seed的准确地址我们无从得知,所以这个滑坡可以起到很大的作用,特别注意下面的类似的代码,cdqe 是一条指令,它的作用是将 32 位寄存器 EAX 的值扩展到 64 位寄存器 RAX 中。3是一个定值,就是v2的地址到seed的距离。
[GFCTF 2021]where_is_shell
m0_74375241的博客
11-08 383
然后查找字符串发现没有binsh字符串但是system的字符串,可以通过elf文件获取system_plt的地址,然后结合shell目里面又没有binsh等可以作为shell的字符串,然后上网搜索了一下$0也可以作为shell进行传入,并且此程序是amd64位的程序,参数会依次存放rdi,rsi,rdx,rcx,r8,r9这6个寄存器中,多的存放在栈中,在后面函数这里面本应该是binsh的出现了报错,并且代码爆红。然后ida打开看一下,主函数里面发现了buf存在溢出。
NSSCTF [GFCTF 2021]where_is_shell
最新发布
2401_88087539的博客
05-15 421
pwn新手小白,写完后整理的一点点思路,有借鉴其他wp,有任何问各位师傅可以提出,接收批评指正
GFCTF2021-where_is_shell
sagic的博客
07-17 352
总而言之我们现在要构造的payload就是首先需要覆盖返回地址,然后使用ret弹出一个地址,再使用pop rdi ret 把我们的shell的地址存进rdi寄存器里,最后再调用system函数,因为rdi里存着shell函数的地址所以调用了system函数就等于system($0),因为rdi是64位传参中最先传输的。利用system($0)获得shell权限。正好tips函数中有我们需要的机器码。$0在机器码中为 \x24\x30。
GFCTF 2021 where_is_shell
2301_79793667的博客
04-09 401
要构造的payload就是首先需要覆盖返回地址,使用ret弹出一个地址,再使用pop rdi ret 把我们的shell的地址存进rdi寄存器里,最后再调用system函数,因为rdi里存着shell函数的地址所以调用了system函数就等于system($0)。发现定义了一个字符串buf,距栈底距离为0x10,并且有一个read函数,再检查附件其他内容并没有发现bin/sh,但是发现了一个tips,跳转到该地址进行查看。只需要取它地址后一位就可以了也就是取到0x400541就能得到$0的机器码。
[GFCTF 2021]where_is_shell——面向小白的
beihai1893的博客
09-09 1083
涉及到的知识点:栈溢出、栈对齐、ret2text、ROP对于刚入门的小白来说是一道拓宽视野的好,但是如果你不知道这涉及到的知识点盲目做的话会卡很久,比如本蒟蒻本篇Write Up默认读者具有熟练使用IDA Pro的能力以及对栈的结构有基本的认识、会做最基础的栈溢出目,如果目前不具备以上基础,可以先学了以后再来看。
Kali linux 学习笔记(五十一)Web渗透——sqlmap自动注入 2020.3.28
闵行小鱼塘
03-28 3338
学习sqlmap自动注入
sqlmap 使用笔记(kali环境)
qq_40691438的博客
02-10 2465
sqlmap默认把session文件跟结果文件保存在output文件夹下,用此参数可自定义输出路径 例如:–当请求是HTTPS的时候,需要配合–force-ssl参数来使用,或者可以在Host头后面加上:443。在有些时候web服务器使用了伪静态,导致无法直接使用sqlmap测试参数,可以在想测试的参数后面加*用–os-shell参数也可以模拟一个真实的shell,可以输入你想执行的命令。输出的格式可定义为:CSV,HTML,SQLITE。参数:–os-cmd,–os-shell。文件内容直接copy。
[红明谷CTF 2021]write_shell
yym68686
10-22 757
[红明谷CTF 2021]write_shell 打开网页,发现源代码: <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!');
2021GFCTF
unexpectedthing的博客
07-07 1800
GFCTF2021
PWN · 总结】system返回shell(‘/bin/sh‘、‘sh‘、$(0))
Mr_Fmnwon的博客
05-31 5767
pwn中要通过system/excute等返回shell,进而cat flag。今天遇到一,参数$(0)也可返回,有必要记录一下。
[GFCTF 2021] day2
qq_62046696的博客
05-07 1021
template需要就是传进去index.html,这样才会调用listdata这个方法。--源码藏在上层目录xxx.php.txt里面,但你怎么才能看到它呢?发现会调用listdata方法并且需要我们传参 action module。$dir需要是admin,是space传进来的,所以space=admin。/template/admin/ 首先代码中有这一个目录,访问看一下是啥。template也就是filename需要是 index.html。则需要满足 $p存在也就是,在这里需要一个键和值,
[GFCTF 2021]文件查看器(GZ、过滤器、phar) day4
qq_62046696的博客
05-10 770
打开界面直接一个登录界面,直接admin/admin登录进去。进来之后发现是一个文件查看器的功能随便输入了点东西发现了报错,然后读取文件的功能,输入Files.classs.php发现读取不成功换了个index.php大概的意思就是new 传入一个类,然后调用类中的方法,推断肯定有别的源码,果断扫目录发现www.zip,里面有几个php文件,然后可以看到每个类中都有几个魔法函数,说明肯定是用他们一起然后构造一个pop链,大致拼接了一下这里有一个点就是)();
ctfshow-pwn新手系列
热门推荐
ro4lsc的博客
06-14 1万+
前言 十几天没发文了,都在写这篇文章,我也不知道为啥我要学pwn,当初是准备学汇编的,走上了不归之路,呜呜呜 pwn签到 nc 连上就有flag pwn02 一个简单的ret2text 首先看main函数 那么接着跟到pwnme函数 可以看到buf只有9个字节 而fgets读入了50个字节,所以就导致了栈溢出 这是个32位的程序所以ret地址一般是ebp+4 看到stack函数 地址 故exp为 exp: from pwn import * #p = process("./pwn1") p
NSSCTF Pwn [GFCTF 2021]where_is_shell
qq_33348179的博客
02-04 297
新知识:16进制 24 30 代表$0 也可以作为binsh使用。下载文件 exeinfo checksec。所以binsh的地址为0x400541。64位 用IDA64打开。还有一个tips函数。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值