【攻防世界pwn-level2】

最新推荐文章于 2024-09-23 20:53:41 发布
最新推荐文章于 2024-09-23 20:53:41 发布
阅读量306 收藏
点赞数
分类专栏: 攻防世界pwn新手区 文章标签: 安全 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a_silly_coder/article/details/122502700
版权
这篇博客深入解析了攻防世界CTF平台的pwn-level2挑战,通过ida分析32位文件,找到了明显的攻击点——vulnerable_function函数中的栈溢出漏洞。博主揭示了buf与ebp之间的距离以及允许输入的大小,确定了溢出条件。进一步,发现了代码中的system函数地址,并搜寻到sh或bin_sh字符串,为构造shellcode创造了条件。最终,博主设计了利用脚本并成功执行攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

下载文件后,首先查看保护

将文件拖入ida 32位,发现函数名明示了攻击点

点进vulnerable_function函数后,发现buf距离ebp有0x88的距离,但是可以读入0x100的大小,确定这是一道栈溢出的题目,溢出点就在此处。

确定溢出点后,开始寻找利用方式,发现代码中给出了system函数,在0x8048320的位置

最低0.47元/天 解锁文章
攻防世界(pwn篇)---level2
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-15 1644
攻防世界(pwn篇)—level2 文章目录攻防世界(pwn篇)---level2题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 运行分析 IDA 分析 ssize_t vulnerable_function() { char buf[136]; // [esp+0h] [ebp-88h] BYREF system("echo
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1534
学习pwn开始,慢慢来不要急
攻防世界 Pwn level2
MrTreebook的博客
07-16 592
攻防世界pwn level2 1.file 和 checksec 先走一遍 是一个32位的文件 看到 RELRO的状态是 Partial 2.放进IDA32看一下 有一个system函数 进入vulnerable_function看一下 buf可以溢出 进入栈空间看看 136byte的buf再加上4byte的数据溢出返回system的地址 本题开始前就提示我们用ROP 现在去plt表上暴露system的地址 3.编写exp 先构造paylod system_plt = elf.plt["syst
攻防世界pwn level2
2401_83086823的博客
09-23 395
想要溢出buf,就要0x88-0x00+0x04个字节,溢出部分为实现system函数,system(command)的command为/bin/sh,即可拿到shell.2.system返回值为四个字节,为了堆栈平衡,填上四个垃圾字符,再到/bin/sh地址。进入vulnerable_function(这个名字其实就给了提示)buf大小为0x88,read范围为0x100,存在溢出漏洞。查看字符串,看到了system,/bin/sh.1.buf溢出写入system地址。
[攻防世界 pwn]——level2
Y_peak的博客
02-18 325
[攻防世界 pwn]——level2 题目地址: https://adworld.xctf.org.cn/ 题目: 32位程序 IDA中, 找到system和 ‘/bin/sh’ 地址进行覆盖 exploit from pwn import * p = remote("111.200.241.244",55083) system_addr = 0x0804845C binsh = 0x0804A024 payload = 'a' * (0x88 + 0x4) + p32(system_addr
攻防世界PWN-level2
Deeeelete的博客
11-13 1051
题目:level2 开PE看信息,进checksec看详情 进checksec,查看到程序无PIE,堆栈不可执行,无栈保护 跑一遍逻辑,还是hello word 于是开32位IDA查看 f5main函数 看源码,主要就是echo了一个hello world,同时很明显上方有一个显眼的脆弱函数 双击进入脆弱函数查看 单独摘出源码 ssize_t vulnerable_function() { char buf; // [sp+0h] [bp-88h]@1 system("ec
攻防世界 pwn-100
10-26 374
1 题目 2 分析 如上图,这道题很简单粗暴,直接暴露溢出点,但是需要注意的是,每次输入读200!这点下面会有坑。 思路:利用ROP泄露出read的地址,利用Libsearch获得system和/bin/sh的地址。这些都是常规流程。但是,有一点要注意,在发送payload的时候,一定不能使用sendline或者sendafterline。因为这两个方法会自动在你的payload后面添加\n。本题严格读取200单元,多出来的\n作为下次读取的开头,会导致第二次发送的错误!exp如下 f
攻防世界pwn-level3】
a_silly_coder的博客
02-17 3346
下载文件后首先查看保护,发现可以进行栈溢出攻击 将文件拖入32位ida 进入vulnerable_function后,发现了read处有栈溢出漏洞 在查看代码后,发现没有提供system和bin/sh,但是由于给了libc,所以可以找到libc的偏移量,然后计算出system和bin/sh的加载地址。 对于plt表,got表,实际加载地址,我是这么理解的:通过elf.plt['write']获取到的是write在plt表中的地址1,这个地址1上存放的实际内容是write在got表的地..
攻防世界 pwn新手 level2
kwist_jay的博客
06-14 528
这里我们先下载附件,查看一下文件信息: 32位的i386程序,这里我们用IDA32打开,查看main函数的伪代码 顺藤摸瓜找到输入点buf: 这里我们查看buf的栈结构,他只用了0x88字节但是给了100字节的输入空间,明显的栈溢出 最后两位的返回值s是一个4字节的数组,r为程序返回的地址,就是我们要操作的东西 初步的payload可以定为 'a'*0x88+'aaaa'+..... 我们再往下看,做pwn一般就是找到system函数然后运行自己的命令,所以我们找到了_sy...
攻防世界 - pwn - level2
qq726232111的博客
03-16 264
A、程序分析 1、使用了system() 2、read() -> 缓冲区溢出 3、 程序包含/bin/sh命令 B、利用分析 1、read(0,ebp-88h) --> payload ebp-88h --- ebp-1h (88hbyte 填充数据) ebp --- ebp+3h (4byte 填充...
攻防世界PWN新手题(PWN——level2)
0pt1mus
12-20 948
level2 转载自原创superj.site 0x00 首先通过file和checksec分析该题的附件。 判断该文件是32位的ELF文件,只开启了不可执行的保护。 0x01 开始进行反汇编,用IDA 32位。 通过左侧的函数窗口发现,只有main、vulnerable_function可用,因此进行分析,两个函数如下图: 通过分析发现,在main函数中首先调用vulnerable_fun...
攻防世界 pwn 新手练习区 level2
ChaoYue_miku的博客
07-05 991
题目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’ ** 0、使用file命令查看文件类型,使用checksec查看保护情况,尝试打开文件 ** 32位ELF文件,开启了NX保护和部分地址随机化 (其实checksec就有包含了file的功能) ** 1、使用IDA32 Pro打开文件 ** 题目描述中有提示:面向返回的编程(ROP),所以就要寻找并构造ROP链。 首先查看main()函数 发现有一个vulnerable_function()函数,点进去看一下
pwn 例题level2解析
m0_67423114的博客
04-26 572
下面就是寻找bin/sh了,由于题目较为基础,我们甚至能够直接在源代码中找到/bin/sh,利用它和main函数已存在的system函数,即可凑齐构造payload的全部材料。看开头英文变量以及观察末尾,可知Frame Size大小为0x88,Saved regs大小为0x04,即需要写0x88+0x04个填充后才能到达返回地址。可以看到存在一个缓冲区buf,并且大小为0x88,并且该函数返回了一个read函数,大小为0x100u,双击&buf变量具体查看。通过这种套路,确实获得了/bin/sh的地址!
【愚公系列】2022年01月 攻防世界-简单题-PWN-002(level2)
热门推荐
时光隧道
01-18 3万+
文章目录一、level2二、答题步骤1.获取在线场景2.查壳3.IDA总结 一、level2 题目链接:https://adworld.xctf.org.cn/task/task_list?type=pwn&number=2&grade=0 二、答题步骤 1.获取在线场景 2.查壳 对下载文件进行查壳,命令如下 file level2 checksec --file=level2 分析文件,小端程序(LSB),栈不可执行。 3.IDA 使用IDA对文件进行反汇编 第一步:首先找到ma
[CTF-PWN]攻防世界新手村-level2[wp]
murongxuege的博客
10-04 745
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 checksec监测 file查看一下文件属性,可以看到文件是linux elf文件,32字节,Inter80386微处理器。 checksec的常用命令是:c
攻防世界pwn pwn_level2
qq_44370676的博客
08-14 378
首先下下来的文件查壳以及查保护机制
pwn level2
2201_75387521的博客
12-28 365
先找system函数,发现它的参数待输入,然后shift + Fn + F12 查找特殊字符发现bin_sh,因此希望bin_sh能成为system的参数。其他都是基本的缓冲区溢出。
CTF PWN - ROP ->Payload实例(攻防世界level2
yajuanpi4899的博客
11-04 1702
ROP(Return Oriented Programming)攻击原理:提取反汇编中以ret结尾的代码片段或函数组合实现拓展可写栈空间,组成/bin/sh等常用系统执行命令。 ret指令:将ESP(栈顶地址)中地址弹出至EIP寄存器,代码自动跳转到之前栈顶存放的返回地址,以此构成rop链。(X86)rop链即是基于以上这个简单的原理,在代码空间中寻找以ret结尾的代码片段或函数(代码片段称为Rop gadgets),组合可以实现拓展可写栈空间、写入内存、shell等功能,依靠ret将代码执行权紧握在自己
攻防世界xctf PWN leve2详细讲解,两个地址方法
qq_45200829的博客
08-19 283
bin/sh 字符串有,system函数也有,齐活了。溢出把返回地址改成system的地址,再加/bin/sh参数就能拿到shell了。32位程序,启用的保护不多,启用了NX防护。
攻防世界pwn题目
最新发布
03-08
### 关于CTF PWN题目解题思路 在攻防世界CTF竞赛中,PWN类题目通常涉及对二进制程序漏洞的挖掘与利用。这类题目旨在考察参赛者对于常见安全漏洞的理解以及编写有效载荷(Payload)的能力。 #### 格式化字符串漏洞及其应用实例 格式化字符串漏洞是一种常见的缓冲区溢出之外的安全隐患,在某些情况下可以被用来执行任意代码或泄露敏感信息。当应用程序未能正确处理用户输入作为格式说明符时就会发生这种类型的错误[^2]。例如,在`printf()`函数调用过程中如果允许外部控制其参数,则可能导致未预期的行为。 #### 利用返回导向编程技术实现GetShell 为了完成level2级别的挑战并最终获得shell访问权限,选手可能需要运用ROP(Return-Oriented Programming)技巧来绕过现代操作系统所实施的各种保护机制,比如DEP(Data Execution Prevention)[^1]。通过精心构建一系列gadget链表,可以在不修改原始二进制文件的情况下改变程序流从而达到特定目的——即获取目标系统的完全控制权。 #### 成功案例分析 有记录显示某位参与者成功解决了名为CyberPeace的比赛项目,并得到了标志性的胜利消息:“cyberpeace{66c82e120023fc25f9ab807a58058288}”。这表明该名玩家不仅掌握了必要的理论知识而且能够实际操作以达成既定的目标[^3]。 ```python from pwn import * # 这里仅提供一个简单的框架用于理解如何设置环境变量和连接远程服务器 def exploit(): context.log_level = 'debug' # 设置target IP 和 port target_ip = "example.com" target_port = 1234 # 创建process对象 或 remote 对象取决于比赛给出的信息 conn = remote(target_ip, target_port) # 发送payload前先交互一些初始命令/数据... conn.recvuntil(b'prompt>') payload = b'A'*offset + rop_chain() # offset 是偏移量;rop_chain 函数生成ROP gadget序列 conn.sendline(payload) # 获取shell后可继续发送其他指令直到结束会话 conn.interactive() if __name__ == "__main__": exploit() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值