攻防世界:hello_pwn

已于 2024-04-09 22:42:53 修改
阅读量337 收藏 2
点赞数 4
文章标签: linux 运维 服务器
于 2024-04-09 22:31:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80216972/article/details/137569808
版权
文章讲述了对一个包含ELF文件的程序进行IDA分析,发现存在缓冲区溢出漏洞。通过详细解释alarm,setbuf,puts等函数的作用以及payload构造,展示了如何利用这个漏洞执行系统命令,如调用system函数读取flag.txt文件。同时,提供了两种exploit方法,涉及远程连接和本地操作。
摘要由CSDN通过智能技术生成

开启环境

下载附件:

pe分析知道是elf文件(elf文件是Linux下的可执行文件,可以在Linux直接运行)

ida分析:下载后ida打开找到main函数,F5反编译

分析:

alarm(0x3Cu):
调用alarm函数设置了一个定时器,其值为0x3Cu(60秒)。如果程序在60秒内没有结束,会收到一个SIGALRM信号。这通常用于防止程序挂起。

setbuf(stdout, 0LL):
关闭stdout的缓冲,使得所有输出都立即写入。这通常用于调试,以便实时查看程序输出。

puts()函数:
使用puts函数输出两条欢迎信息。

read(0, &unk_601068, 0x10uLL):
这是漏洞的关键点。read函数从文件描述符0(通常是标准输入stdin)读取0x10uLL(16字节)的数据到unk_601068这个地址。这里有几个问题:

unk_601068可能是一个未初始化的或未分配足够空间的缓冲区,导致缓冲区溢出。
读取的字节数0x10uLL是硬编码的,没有考虑实际缓冲区的大小。
如果用户输入超过16字节的数据,会覆盖缓冲区后面的内存区域,可能包括其他变量的值或者函数的返回地址。
if ( dword_60106C == 'nuaa' ) sub_400686():
这里检查dword_60106C(unk_601068后面的一个双字)是否等于'nuaa'。这个检查看起来是为了确保某种条件满足时才调用sub_400686()。然而,由于缓冲区溢出漏洞,攻击者可以故意构造输入来覆盖dword_60106C的值,从而控制程序的执行流程。

sub_400686()函数:该函数返回一个 64 位整数(__int64)。函数的主体做了两件事情:

system("cat flag.txt");:这行代码调用了 system 函数,该函数执行传递给它的字符串参数作为 shell 命令。在这里,它尝试运行 cat flag.txt 命令,这个命令在 Unix-like 系统(比如 Linux)上用于显示 flag.txt 文件的内容。如果该文件存在且可读,它的内容将被输出到标准输出(通常是终端或控制台)。

return 0LL;:这行代码表示函数执行成功,并返回整数值 0。LL 后缀用于明确表示这个整数值是一个 64 位整数。

exp:

方法一

from pwn import*

p = remote('61.147.171.105',53737)

# 将字符串转换为字节对象  
str_bytes = 'a'*4 
 
# 构造payload  
payload = str_bytes.encode() + p64(1853186401)
p.recvuntil("lets get helloworld for bof\n")
p.sendline(payload)
p.interactive()

"""
from pwn import *:从pwn库中导入所有功能。

p = remote('61.147.171.105', 53737):创建一个远程连接对象p,连接到指定的IP地址和端口。

str_bytes = 'a'*4:创建一个包含4个字母'a'的字符串。这通常用于填充目标程序的缓冲区,以便在稍后覆盖关键的内存位置。

payload = str_bytes.encode() + p64(1853186401):

str_bytes.encode():将字符串str_bytes转换为字节对象。
p64(1853186401):将整数1853186401转换为64位字节表示。
+:将上述两个字节对象拼接在一起,形成最终的payload。
p.recvuntil("lets get helloworld for bof\n"):从远程连接中接收数据,直到遇到字符串"lets get helloworld for bof\n"为止。这通常用于同步,确保payload在正确的时机发送。

p.sendline(payload):发送之前构造的payload到远程服务器。这里的sendline函数会在payload后面自动添加一个换行符,这取决于目标程序是否期望接收换行符作为输入的一部分。

p.interactive():将远程连接的控制权交给用户,允许用户与远程服务器进行交互。在成功发送payload并触发漏洞后,这通常用于执行目标服务器上的任意命令或访问敏感数据。"""

方法二:

KD杜小帅
关注
攻防世界(pwn篇)---CGfsb
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-09 1771
攻防世界(pwn篇)—CGfsb 文章目录攻防世界(pwn篇)---CGfsb题目描述基本情况分析运行分析IDA 分析格式化字符串漏洞分析出payload找一下 s 的偏移量再看一看 pwnme 的地址exp 题目描述 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 基本情况分析 checksec命令可以查看可执行文件开启的保护 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.S
攻防世界pwn-hello_pwn
a_silly_coder的博客
01-16 1942
下载文件后,首先检查保护: 将文件拖入64位ida,查看代码 基本逻辑是:读取一个输入,存入unk_601068,接着比较dword_60106C是否等于一个预期的值,如果相等,执行对应函数,函数内直接执行cat flag.txt 所以思路就是需要覆盖dword_60106C,让其等于预期值,此时我们需要在输入unk_601068时,对dword_60106C进行覆盖,接着我们查看这两个值的存放位置。 发现这两个值之间相隔4个字节,所以需要4个字节的填充数据,接着输入预期值。..
攻防世界 - pwn - hello_pwn
qq726232111的博客
03-16 509
A、程序分析 1、缓冲区地址为601068h 2、判断条件 --> 60106Ch为起始地址 , 存储6E756161h 3、判断条件成立执行cat flag B、利用分析 1、601068h -60106Bh --> 4byte 填充数据 60106Ch - 60106Fh --> 4byte 判断条件 0x6E756161 ...
攻防世界XCTF-Pwn入门11题解题报告
最新发布
HUANGXIN9898的博客
07-26 738
Pwn是CTF中至关重要的项目,一般来说都是Linux二进制题目,零基础的同学可以看《程序员的自我修养》,主要题型包括:缓冲区溢出、Return to Libc、格式化字符串、PLT GOT等。
攻防世界PWN-hello_pwn
Deeeelete的博客
11-14 410
题目:hello_pwn 进pe查看程序 因为该题目比较简单,所以确认是64位程序,直接进IDA f5反编译main函数 单独摘出代码 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { alarm(0x3Cu); setbuf(stdout, 0LL); puts("~~ welcome to ctf ~~ "); puts("lets get helloworld for bof"); re
攻防世界pwn刷题--hello_pwn
m0_74073577的博客
09-29 194
0x60106c-0x611068=4个字节,那么输入4个a就可以到达目标地址(python里b’a‘的长度是一个字节),再输入‘nuaa‘即可,需要注意的是checksec后是小端序,绝大部分题目都是小端序,所以数据高位应该在地址低位,即输入’aaun‘,总体的payload应该是aaaa+aaun,如果暂时无法理解这个亦可以使用pwntools工具,使用p64打包数据即可,这样的话payload应该是payload=b’a‘*4+p64(0x6E756161),这个0x6E。结果是‘nuaa’。
攻防世界 hello_pwn
weixin_73399382的博客
06-30 365
然后从指针&unk_601068指定的缓冲区里面读取最多16位数据(0x10uLL解读:0x代表十六进制,uLL=unsigned long long,无符号long long 型,10转为十进制即为16)直接执行一下,这里看别人的wp是可以通过输入构造字符串来getshell的,我这里就不这么做了,多练写脚本的能力。国际惯例checksec一下,64位小端序,未开启栈溢出保护和地址随机化,很明显这道题利用栈溢出了。刚学pwn的小白,大家互相学习,看看哪里说得不对打在评论区!写脚本,下面两个略微差别。
攻防世界 pwn
清霂的博客
02-02 687
目录1.get_shell2.when_did_you_born3.hello_pwn4.level05.level26.cgpwn2 1.get_shell nc连接题 连接后ls | cat flag 2.when_did_you_born file checksec 有canary保护,不能栈溢出 ida64 先输入v5,v5不能等于1926。再输入v4,注意有gets函数,不限制输入,但无法溢出,点进去v4,v5 发现var_18是v5,var_20是v4,那么可以输入v4时将v5的值覆盖为19
初学pwn-攻防世界(hello_pwn)
天柱的博客
08-26 3471
初学pwn-writeUp 攻防世界的第二道题目,hello_pwn。 首先创建场景,使用nc进入远端,发现他只输出了一串字符串,没有别的内容,也无法使用ls查看它的文件。 下载场景提供的文件,使用cat查看,发现是ELF文件,按照大佬的流程,ELF文件直接用ida打开。 初次使用ida,深切的感受到了ida的强大。 打开之后,按F5,进行反编译,可以看到main函数的伪代码 可以从main函数中看到,这里存在一个判断,如果条件达成的话,会调用一个函数。点开函数看一下。 可以发现里边会输出flag.tx
[CTF-PWN]攻防世界新手村-hello_pwn[wp]
murongxuege的博客
10-01 2590
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 从描述中可以看出当前程序是要进行年龄的输入操作的,有输入操作,还是在新手村,那么大概率是gets()等C函数输入漏洞,进一步猜测是普通的内存地址覆盖的题。 che
攻防世界pwn新手练习(hello_pwn
BurYiA的博客
10-24 3743
hello_pwn 拿到程序后,我们首先checksec一下 可以看到是64位程序,好的是这次只开了NX(堆栈不可执行),ok,我们跑一下程序看看 可以看到它是一个输入,然后就啥都没有了emmmm…好吧,咱们继续放到IDA里面看看 ...
攻防世界_pwn_hello_pwn(萌新版)
TedLau的博客
02-24 570
首发于鄙人博客:传送门 0x00 前言 file checksec已省略。64位elf程序 0x10 步骤 0x11 main函数 在main函数中我们可以看到,它让我们输入unk_601068的值,而如果我们想getshell,那么我们便需要将dword_60106c的值赋为1853186401。 0x11 bss段观察 可以看到这两个数据的距离并不远,所以...
攻防世界-hello_pwn
qq_52333044的博客
06-22 257
第一种:通过先输入四给任意字符再输入"aaun" (为什么是aaun呢,因为小端序和大端序的问题,小端序低地址存低位,大端序就是低地址存高位,这里采用小端序)unk-601068和dword——60106C相差4 个字节,然后我们可以通过覆盖来改变dwod_60106c的赋值。发现当unk_601068等于nuaa时才能得到flag。习惯性的用ls没有什么用,然后查看是多少位。然后用64位IDA打开查看程序。用kali linux 打开。第二种:就直接写exp。
攻防世界-PWN-hello_pwn
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 505
开始进军PWN题 目录 分析 拖入IDA exp 分析 使用 file 和 checksec(查看程序的保护机制) 指令分析文件 x86-64 架构 Linux可执行文件ELF checksec参数 Arch 程序架构信息。这里是amd64-64的 RELRO 主要针对 GOT 改写的攻击方式的保护 RELRO为” Partial RELRO”,说明我们对GOT表具有写权限。 这里也没作保护 Stack 栈保护 这里没有启用 NX 栈没有执行权限 这里是打开的 PI.
[攻防世界]hello_pwn
逆向萌新的博客
06-20 303
[攻防世界]hello_pwn
攻防世界hello pwn WP(pwn入门基础题)
m0_62584974的博客
11-21 2113
攻防世界hello pwn WP(pwn入门基础题)的简单讲解
攻防世界 pwn 新手练习区 hello_pwn
ChaoYue_miku的博客
07-06 531
题目来源: NUAACTF 题目描述:pwn!,segment fault!菜鸡陷入了深思 ** 0、下载附件,使用checksec检查保护情况,尝试打开文件 ** 开启了NX部分RELRO ** 1、使用IDA 64 Pro打开文件 ** 查看main函数 发现了一个read函数,查看一下unk_601068的栈结构 这里是存在栈溢出的,只要覆盖4个字节的内容就可以更改dword_60106C的内容。 接着往后查看main函数: 有一个if条件判断,只要满足dword_60106C == 18531
攻防世界hello _pwn总结
RMC131的博客
11-13 4591
checksec 转自:checksec工具使用-pwn – 简书 (jianshu.com) 基本用法:checksec –file=hello_pwn Arch: 系统架构信息,判断是64位还是32位,选择相应的IDA和写相应的exp。 amd64-64-little说明为64位,选用64位的IDA,写64位的exp。 RELRO: Relocation Read-Only (RELRO),此项技术针对GOT/GIFTO(区块链)改写的攻击方式。分为两种,Partial RELRO 和 Full RE
攻防世界pwn新手练习区-hello_pwn
CSDN_sunrise的博客
08-28 750
hello_pwn查看基本信息并运行文件 查看基本信息并运行文件
xdctf2015_pwn200
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过计算偏移量得到libc的基址,进而计算出system函数和/bin/sh字符串的地址。最后,通过构造ROP链来调用system函数,并将/bin/sh字符串作为参数传入,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [[BUUCTF]PWN——xdctf2015_pwn200](https://blog.csdn.net/mcmuyanga/article/details/109622553)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [xdctf2015_pwn200](https://blog.csdn.net/weixin_44309300/article/details/130628776)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值