攻防世界welpwn解题方法

最新推荐文章于 2023-08-24 13:34:46 发布
VIP文章 最新推荐文章于 2023-08-24 13:34:46 发布
阅读量353 收藏
点赞数 1
分类专栏: 网络攻防 文章标签: pwn welpwn 攻防世界 DynELF ret2csu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liucc09/article/details/112304872
版权

分析

  1. 题目很程序很简单,输入字符串,将遇到\x00前的字符拷贝给s2数组,如果拷贝数量大于s2在栈上的空间就会发生溢出,可以覆盖到ret的位置从而控制程序流。
  2. 需要注意的是覆盖ret用的地址肯定会包含\x00,因此构造的rop链会断开,所以需要想办法。
  3. 解决办法为通过一串pop ret指令将栈上内容弹出,然后直接连接到buf所在位置继续rop链的执行。
  4. 输入buf后栈空间如下所示,可以看出在ret指令的位置填入一个具有四个pop再加一个ret的地址刚好能弹出buf中已经用掉的4*0x8个字节,然后就能续上后面的rop链
s2 aaaaaaaa
aaaaaaaa
ebp ebp_ebp_
ret pop4_ret
buf aaaaaaaa
aaaaaaaa
ebp_ebp_
pop4_ret
rop链

泄漏libc的方法

题目没有给libc.so文件,这里尝试过使用LibcSeacher查找libc,但是失败了,因此本题采用DynELF查找system的地址。DynELF的原理是从内存中读取不同地址的内容从而逐步定位到libc的加载地址,从而得到system的地址,因此适用面比较广。

这里需要注意的是,题目中不仅有write输出,还有printf输出,而printf会先输出到缓冲区,等缓冲区满了或遇到fflush函数或遇到回车符才输出,因此先执行的printf会比后执行的write函数后输出内容,这对我们recv()字符造成了一些麻烦,需要仔细处理。

因此本文的解决方法是在发送payload前不使用recvuntil()函数定位发送的时机,反正题目只有一个输出的点,不会出问题。在leak函数里面通过recvuntil()消耗掉printf的输出,避免下次recv(8)时读错内容。

另:DynELF的leak函数最好用write来泄漏地址,因为puts遇到\x00就截断了,而write不受限制。但write有3个输入参数,因此通过ret2csu的方法来构造参数以及调用write。

exp

from pwn import *
from LibcSearcher import *
import time

pe = "./welpwn"
arch = 'amd64'

context.update(arch=arch,os='linux',log_level='INFO')
DEBUG = False
elf = ELF(pe)
if DEBUG:
	if arch=='amd64':
		libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
	else:
		libc = ELF('/lib/i386-linux-gnu/libc.so.6')

	r = process(pe)

else:
    #libc = ELF('./libc.so.6')
    r = remote('220.249.52.134',
最低0.47元/天 解锁文章
liucc09
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
DOSBOX----DEBUG初探
qq_42192672的博客
10-08 6654
为啥开始用这个操作呢 我最初的目的是想知道一些特定汇编语句的机器码,用来在IDA里面patch code的时候可以用 先讲一下这个东西怎么用吧 首先我们需要两个软件,一个是dosbox(用来模拟dos环境),还有格式debug.exe(用来进入debug状态) #dosbox 链接:https://pan.baidu.com/s/1T5jXp2amRx37aEJUp4FKuQ  提取码:...
PWN总结
醉等佳人归
08-19 1332
文章目录1.ROP绕过2.radare2基本指令 1.ROP绕过 2.radare2基本指令 常用命令: 信息搜集: $ rabin2 -I ./program — 查看二进制信息 ii [q] – 查看导出表 ?v sym.imp.func_name — 获取过程链接表中相应函数的地址(func_name@PLT) ?v reloc.func_name —获取全局偏移表中函数的地址(func_name@GOT) ie [q] — 获取入口点地址 内存相关: dmm — 列出模块 (库文件,内存中加载的二进
DOSBOX与DEBUG的使用方法及命令
fencecat的博客
02-04 1万+
DOSBOX与DEBUG的使用方法及命令 1.DOSBOX的使用(安装DOSBOX,熟练掌握DEBUG的使用) 输入MOUNT D:D:\debug并回车,之后再输入D: 并回车,如下图: 其中MOUNT D:D:\debug这一命令是将D:\debug挂载在D这个盘符上, 这个盘符你可以随便写,不一定要是D,然后下一个命令D:的意思是切换到D这个盘符, 即实际是切换到D:\debug这个目录下。然后你可以输入debug进行汇编语言的学习了。 2.DEBUG的命令: -R命令查看、改变..
DOSBOX中debug常用指令的使用
weixin_47586883的博客
10-22 1万+
仅作为个人学习笔记 挂在文件这些操作就不说了吧,一张图就够了 进入虚拟c盘,输入debug。 接下来先了解一下常用的一些debug中的命令。(命令不区分大小写) 一、查看、修改CPU中寄存器的内容:R命令。 1.直接输入r,查看寄存器中的内容: 2.改变寄存器中的内容: 可以观察到ax中的内容由0000改变成了ab23。 二、查看内存中的内容:D命令。 1.直接输入d,可以查看预设地址内存处的128个字节的内容: 输入r查看的内容中最下面一行就是当前所在的地址,即073f:0100,再输入d查看的就
DOSBox debug模式常用指令
m0_56208280的博客
02-13 4883
DOSBox debug模式下常用的指令: R命令、D命令、E命令、A命令、U命令、T命令
dosbox进行debug调试教程
热门推荐
Winston_955的博客
04-30 3万+
一:下载安装dosbox 首先在百度或者其他搜索引擎上找到dosbox如下图 下载后会出现以下dosbox图标 二:下载masm 如有需要点此处分享链接,提取码为bo39 在下载后在D盘创建一个名为dos的文件夹并在此文件夹里再创建两个文件夹,分别命名为asm和masm,将下载好的masm里面四个文件放到masm中(四个缺一不可)。 三:编写汇编源程序 源程序需要用汇编语言编写,下面提供一个比较...
汇编语言调试工具:DosBox及debug安装配置使用教程
此博客内容主要是小可日常工作中的一些问题解决的记录整理而成
08-24 8085
命令:a用法:a用途:输入汇编命令,输完后不输入任何指令,直接回车即可退出编辑模式。命令:dd [起始位置]d [起始位置] [结束位置]用途:显示内存区域的内容。命令:ee [内存地址]e [内存地址] '文本'用途:修改指定内存区域的内容。命令:ggg=[内存地址]用途:连续执行内存代码,可以在g后面指定内存地址,若不指定则会从CS:IP处开始执行。命令:h用途:该指令通常用于计算偏移量或地址范围,并且对于某些调试任务而言非常有用。
实验一、实验环境DOSBOX安装DEBUG调试程序功能
weixin_52210278的博客
03-28 1989
DEBUG是dos,windows下提供的调试工具,使用该工具可以查看和修改寄存器内容、内存的内容。可以在机器码级别跟踪程序源码的运行,通过单步、设置断点等方式为汇编语言程序员提供了非常有效的调试手段,是学习汇编语言必不可少的调试工具。3. 用R 命令查看各寄存器内容,特别注意AX,BX,CX,DX,IP及标志寄存器FLAGS各位中ZF,CF 和AF的内容。10. 使用学习到的DEBUG命令将字数据1,2,3,4,5,6,7,8,9写入内存当前数据段200H开始的单元中。格式查看内存单元内容,观察结果。
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127861757
攻防世界杂项津门杯2021-m1
11-14
攻防世界杂项津门杯2021-m1,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127840757
printf格式化字符串漏洞原理解析
liucc09的博客
11-25 5937
读任意地址 printf("%x")只给格式化字符串,而不给参数,会导致内存泄漏从而读到内存中其他地址的数据。 %N$x参数可以以16进制方式打印第N个参数的内容,通过修改N,我们可以遍历栈上的所有内容。 通过%N$s参数,我们可以将第N个参数对应的内容作为字符串的地址从而获得内存中任意位置的内容。方法如下 如果我们使用的打印语句为:printf("AAAA%x")那么栈的内容如下: 栈底 … x % A A A A … 栈顶 使用printf("A
CTF泄漏libc基址的方法
liucc09的博客
01-05 3791
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
*CTF2021部分题目解题思路及exp
liucc09的博客
01-18 3034
babyheap 这是pwn里面唯一的传统heap题,使用的是新的libc2.27,chunk被free到tcache后bk位置会被写入一个地址,再次free时如果bk有这个地址会和tcache里的所有chunk挨个比较,发现一样的就报double free tcache 2,因此要再free之后把bk置零就行了。 题目第一个坑,在edit方法里面读入数据是从chunk+8的位置的开始写,也就是不让修改fd,这导致虽然有UAF,也无法很方便的实现任意地址写。解决方法为构造重叠的chunk,从而改到tcach
windows上通过IDA远程调试linux程序
liucc09的博客
11-25 1176
IDA功能很强大,但是往多个平台上部署也很烦人,但幸好IDA有远程调试功能,可以只在windows主机上安装IDA,然后装一个linux虚拟机,将需要调试的可执行文件放到linux虚拟机中,通过远程调试功能对其进行调试。步骤如下 将IDA安装目录dbgsrv文件夹里的linux_server64拷贝到64位的linux虚拟机中; 通过命令chmod +x linux_server64为程序添加可执行权限; 通过命令./linux_server64开启服务端; 在IDA中点击Debugger,添加Remot
攻防世界REVERSE新手题解答
liucc09的博客
11-25 911
csaw2013reversing2 程序分析 使用IDA打开程序,F5键利用HexRay工具生成可读代码如下: int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // ecx CHAR *lpMem; // [esp+8h] [ebp-Ch] HANDLE hHeap; // [esp+10h] [ebp-4h] hHeap = HeapCreate(0x40000u
安装one_gadget
liucc09的博客
01-09 860
install 卸载已有ruby和one_gadget sudo gem uninstall one_gadget sudo apt remove gem ruby 安装ruby-install wget -O ruby-install-0.8.1.tar.gz https://github.com/postmodern/ruby-install/archive/v0.8.1.tar.gz tar -xzvf ruby-install-0.8.1.tar.gz cd ruby-install-0.
攻防世界 easyphp
最新发布
09-11
EasyPHP是一个用于Windows操作系统的开发环境,它集成了Apache服务器、MySQL数据库和PHP解释器,使得搭建和管理网站变得更加简单。在EasyPHP中,攻防世界是一个基于CTF(Capture The Flag)赛制的在线平台,旨在提供网络安全学习和竞赛的机会。 攻防世界平台上有各种不同的题目和挑战,涵盖了网络安全的多个方面,包括但不限于Web漏洞、系统漏洞、密码学等。参与者需要通过解决这些挑战来学习和提高自己的网络安全技能。同时,攻防世界也提供了一些教程和文章,帮助新手入门并引导他们深入理解攻击和防御的原理。 对于初学者来说,攻防世界的easyphp环境可以作为一个很好的起点,因为它提供了一个集成的开发环境,使得学习和实践变得更加方便。通过解决平台上的题目和挑战,初学者可以逐渐熟悉常见的安全漏洞和攻击技术,并学会如何进行相应的防御措施。 希望以上信息对你有所帮助!如果你有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值