CSAW2016之PWN题目tutorial的解法

最新推荐文章于 2024-07-06 18:55:09 发布
最新推荐文章于 2024-07-06 18:55:09 发布
阅读量1.9k 收藏
点赞数
分类专栏: CTF pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HappyOrange2014/article/details/52685238
版权
这篇博客介绍了如何解决CSAW2016的PWN题目tutorial。通过动态调试,分析了程序的选项功能,包括获取puts函数地址、栈溢出漏洞以及利用这些信息构造shellcode。博主详细解释了如何绕过ASLR,找到libc基址,以及如何构造payload来执行system("/bin/sh"),并讨论了在本地调试过程中遇到的问题,如CANARY机制的绕过和重定向输入输出到socket。
摘要由CSDN通过智能技术生成

每次做pwn题目都像破案一样,千头万绪,环环相扣,在凑齐所有线索之后一击致命,非常有意思。但毕竟初学,还需凭着这点兴趣继续努力!

该题目是在64bit的linux运行的。用户可以选择3个选项,第一个选项会打印出puts函数的地址,第二个选项存在栈溢出,可以输入shellcode,第三个选项会退出程序。

本题若要本地调试,必须首先在本地建立一个tutorial用户,否则会报段错误。
动态调试时可以在0x401220处下断点,F9运行至此,并新建一个终端来连接tutorial;且将该判断语句成立,实现不跳转,如下图所示。

这里写图片描述

之后,将进入0x400FA2函数,也就是menu函数。在该函数中,会打印菜单供用户选择,如果不选择2(practice),则退出内层循环,否则进入func2函数。如果选择3,则退出外层循环,而选择1,则进入func1函数。

这里写图片描述

我们首先进入func1函数看看,内存地址是0x400e62。进入后,首先会调用dlsym函数,用来获取puts函数的地址并减去0x500,通过write函数打印出来。

这里写图片描述

有了puts函数的地址,我们就可以绕过aslr,获得libc库基址,从而获得libc库中任意函数的地址,公式如下:

任意函数地址 =(puts函数地址 - puts的offset) + 任意函数的offset

而通过readelf可知,puts函数在本地libc库中的偏移为0x6a2a0。题目给出的libc库是2.19版本,相应替换即可。

这里写图片描述

从而可知:

Libc库基址 = puts函数地址 - puts的offset 
           = 0x7fd33a29d2a0 - 0x6a2a0 = 0x7fd33a233000

按此方式,我们来获取system函数的地址:

System函数地址 = 0x7fd33a233000 + 0x3f870 = 0x7fd33a272870

(以上地址均为当前调试结果且libc库为本地2.21版本

最低0.47元/天 解锁文章
HappyOrange2014
关注
专栏目录
CSAW CTF 2016 PWN quals-warmup
Hvnt3r的博客
03-06 2088
CSAW CTF 2016 PWN quals-warmup 原文链接 对文件有个大致的了解,是64位ELF文件 ☁ csaw ctf 2016 quals-warmup ls exp.py flag.txt readme.txt warmup ☁ csaw ctf 2016 quals-warmup file warmup warmup: ELF 64-bit LSB exec...
PWN测试题目
07-18
信息安全PWN测试题目:用于CTF的练习与PWN的学习,测试题目
BUUCTF pwn xp0intctf_2018_tutorial1
热门推荐
stareforever的博客
01-08 1万+
查看保护 用IDA打开查看程序流程 有后门函数backdoor,可以直接获得shell 程序逻辑很简单,输入buf使得buf==0xBABABABA即可获得shell 那么直接可以构造payload 完整ex from pwn import * context(log_level='debug') #io=process("./Xp0intCTF_2018_tutorial1") io=remote("node3.buuoj.cn",25721) io.recv() buf=0xBABABA
Canary,三种优雅姿势绕过
最新发布
yjh_fnu_ltn的博客
07-06 770
如果利用栈溢出将最低位的b’\x00’覆盖,就可以利用答应函数将canary一致输出,最后再在最低位拼接上。逐次覆盖掉canary的4个字节(一位无法绕过低位字节堆高位进行爆破,所以必须从低到高),且要求canary不能变化,绕过重开程序canary变化,就不适用爆破了。在进行栈溢出时,如果程序开启了canary保护,首就需要泄漏这个随机值,否则其被覆盖掉后,程序在退出时再检查该值,会引发错误。注意:canary爆破时,利用栈溢出,溢出到canary位置,从。首确定要覆盖的位置,由于是。
pwn练习
WuMing_Z的博客
02-23 1224
程序分析:main函数中只存在system("/bin/sh")函数,所以nc可直接拿到权限)nc指令:远程连接对方服务器,对方服务器有什么程序就会执行什么程序nc(ip + 端口号)例如在已给的靶机信息node5.buuoj.cn:29650中node5.buuoj.cn是域名,冒号后的29650是端口号(注意冒号要改为空格)然后直接cat flag 即可。
一道pwn入门的练习
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
LCTF pwn题目
Tesi1a的充电桩
11-25 566
题目 URL SOLVED easy_heap Writeup: https://github.com/LCTF/LCTF2018/tree/master/Writeup/easy_heap Source: https://github.com/LCTF/LCTF2018/tree/master/Source/easy_heap 17 pwn4fun Writeup: https://github...
pwn100题目文件及exp.zip
08-09
本资源中的“pwn100”可能是一个初级级别的CTF(Capture The Flag)竞赛题目,旨在帮助学习者了解和实践栈溢出漏洞的利用技巧。 栈溢出是由于程序在分配的栈空间之外写入数据,导致栈上的其他变量或返回地址被覆盖...
32C3之PWN题目Readme的解法
HappyOrange2014的专栏
01-04 5895
是2015年32C3CTF比赛中一道300分的pwn题目,也是我第一次在赛后看着writeup做出的pwn题目,希望下次能够在赛中做出pwn题目。话说,忙碌的工作和生活之余,学习一点安全分析的知识,也是很快乐的一件事情!
Lctf-2016-pwn100
lifanxin的博客
12-24 825
Write Up知识点和关键字样本运行静态分析程序逻辑求解脚本 知识点和关键字 栈溢出 ROP 无libc泄露函数地址 样本 来自Lctf 2016年的pwn,样本 pwn100 (这个资源没办法上传,想要样本的可以留言!) 运行 查看文件属性   64位程序,只开了NX保护 运行样本程序 输入超过200个字符串才会回显"bye~",接着报了一个段错误,程序结束 静态分析 把程序拖进到IDA查看,发现main函数比较简单,主要起作用的是sub_40068E()函数,我们直接进入到这个函数。 该函数又
Ropper:显示有关不同文件格式的文件的信息,并找到用于为不同体系结构(x86x86_64,ARMARM64,MIPS,PowerPC,SPARC64)构建rop链的小工具。 对于拆卸,ropper使用了很棒的Capstone框架
05-12
罗珀 您可以使用ropper来显示有关不同文件格式的二进制文件的信息,还可以搜索小工具来构建针对不同体系结构(x86 / X86_64,ARM / ARM64,MIPS / MIPS64,PowerPC / PowerPC64,SPARC64)的rop链。 对于拆卸,ropper使用了很棒的。 安装 使用PyPi安装 : $ sudo pip install capstone 使用PyPi安装字节: $ sudo pip install filebytes 可选(无需运行ropper即可查找小工具): 安装: $ sudo pip install keystone-engine 安装并执行Ropper $ python setup.py install $ ropper 您还可以使用pip安装Ropper $ pip install ropper 如果需要,可以不安
记第一次解PWN题目
dizhifu3111的博客
11-03 105
# -*- coding: cp936 -*- from pwn import * g_local=False #不设置log_level为debug会导致程序的输出不显示出来 context.log_level = 'debug' if g_local: #启动程序 p = process('./club') #调试器...
ctf中pwn题目总结
weixin_41038905的博客
11-16 4785
1.安装 pip install pwntools (python2) pip3 install pwntools (python3) 2.使用 Context设置 context是pwntools用来设置环境的功能。在很多时候,由于二进制文件的情况不同,我们可能需要进行一些环境设置才能够正常运行exp,比如有一些需要进行汇编,但是32的汇编和64的汇编不同,如果不设置context会导致一些问。一般来说我们设置context只需要简单的一句话: context(os='linux', arch='amd
pwn-随机计算类型
IT_huanhuan的博客
05-25 1322
沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。在ctf比赛中,pwn中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,**只能采取open/read/write的组合方式来读取flag。
pwn的五道基础
lllwky的博客
03-27 7107
文章目录一:ret2text1:服务器地址与端口号2:传入参数3:参数的接收范围4:找到bin/sh所在的地址二:your_nc三:overflow四:printf1:找到如何进入/bin/sh2:找到sth的地址3:获得格式化字符串的偏移量五:rop拓展: 一:ret2text from pwn import * context.arch="amd64" io=remote("101.34.90.86",10002) secure_addr=0x400852 payload=b"a"*0x10+b"a"*
pwn学习总结(三) —— 栈溢出经典型整理
qq_41988448的博客
11-19 2890
pwn学习总结(五) —— 经典题目整理一1. 栈溢出入门2. 字符串截取+缓冲区执行3. GOT泄露4. libc泄露5. 使用DynELF实现远程libc泄露 1. 栈溢出入门 平台:jarvisoj 题目:level0 靶机:nc pwn2.jarvisoj.com 9881 查看程序防护: 查看反汇编: exp: from pwn import * import pwn r = ...
2024全国大学生信息安全竞赛(ciscn)半决赛(东北赛区)Pwn
返璞归真的博客
06-14 1021
2024全国大学生信息安全竞赛(ciscn)半决赛东北赛区Pwn
攻防世界 pwn 二进制漏洞简单练习区 答(1-10解)
小哈里的博客
01-12 5581
序 1、level0 题目描述:菜鸡了解了什么是溢出,他相信自己能得到shell 题目思路: 首使用checksec检查文件保护机制,是多少位的程序。 64位程序,栈不能执行 继续丢入IDA。 输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互。 进入vulnerable_function函数,通过伪代码分析逻辑,发现了栈溢出漏洞。 发现buf数组只有0x80字节,但是read函数从中读了0x200个。 或许咱们能够进行溢出,覆盖掉返回地址
pwn栈溢出题目归纳
08-30
这道pwn栈溢出题目归纳如下: 1. 与其他题目不同的地方是会对内容进行与(&)或(|)操作并泄露一个低12位(buf地址的后3个字节)。 2. 猜测思路是泄露unsorted bin地址,计算malloc_hook地址并将shell写入malloc hook,主要漏洞是栈溢出。 3. 堆溢出是关键,需要检查输入函数的逻辑、变量类型(是否存在无符号溢出)、函数特征(如strcpy)以及读入函数逻辑中是否存在溢出漏洞。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [BUUCTF PWN-堆总结 2021-09-27](https://blog.csdn.net/m0_56897090/article/details/120510003)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值