习题--pwn3

最新推荐文章于 2024-01-28 17:24:59 发布
最新推荐文章于 2024-01-28 17:24:59 发布
阅读量1k 收藏
点赞数
分类专栏: CTF-PWN-刷题-XMCVE培训课 文章标签: PWN 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49959202/article/details/120393413
版权

文章目录

pwn3

1.程序分析

首先file一下,发现是32位程序:

checksec一下,发现pie没开:

ldd一下,找到使用的动态链接库:

ida分析,发现存在函数vulnerable_function(),可以用来栈溢出

题目给出了一个.so文件,那么只需要泄露got表内容,就可以得到system()函数的真实地址。bin_sh字符串也可以到libc里面寻找。

发现write()函数在read()函数前被调用,因此可以使用write()将write_got打印出来,从而泄露write的真实地址。然后再次调用vulnerable_function()函数,就可以再构造一次payload发送,实现栈溢出。

2.栈帧设计

3.exp编写

from pwn import *

io = process("/mnt/d/study/ctf/pwn/pwn3/level3")
elf
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow pwn3
qq_39980610的博客
08-19 510
所以如果我们知道 libc 中某个函数的地址,那么我们就可以确定该程序利用的 libc。此外,在得到 libc 之后,其实 libc 中也是有 /bin/sh 字符串的,所以我们可以一起获得 /bin/sh 字符串的地址。我们一般常用的方法是采用 got 表泄露,即输出某个函数对应的 got 表项的内容。然后接受到的地址就是程序在libc中的地址我们就可以确定libc的版本和libc基址。函数在libc中的偏移都是固定的我们可以通过基址加偏移拿到函数地址和binsh字段。然后我们再构造rop链。
pwn3记录
weixin_55190422的博客
11-08 82
IDA里面看一下main函数,发现有个系统函数读取flag.F5反编译一下 v2=11.28125同样也可以获取flag。所以这个目就是修改V2。 checksec一下 0x4是存储v2的地址, 0x30是开始存储V1的地址。因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 有两个比较指令,双击进去 这个就是11.28125的十六进制值。所以exp: ...
[BugkuCTF] PWN3
BurYiA的博客
11-06 770
PWN3 历经千辛万苦终于把这道拿下了,不容易啊/哭 特此前来记录一下 目拿到后我们首先checksec一下 保护全开啊有莫有,但是不慌(我承认我看到的时候慌了),继续分析吧 粗略的看一下可以发现有四个输入点(红),并且还有一个返回输入值的输出点(粉) ok,上ida瞅瞅,main函数没啥好说的,我们瞅瞅vul函数 显然我们可以利用那两个read来搞一下事情,他们都是都thinking_not...
pwn3第三关
qq_18823653的博客
03-30 231
溢出点,保护都和上一关一样,这一关有外部函数system()和字符串/bin/sh, exp如下: from pwn import * elf=ELF('./pwn3') p=process('./pwn3') payload='a'*112+p32(elf.plt['system'])+p32(0x11111111)+p32(0x08048720) #0x111111是返回地址,0x080487...
pwn3-绕过防御-ROP(1)
qq_73667990的博客
06-08 781
*ROP:**全程Return Oriented Programming(面向返回的编程),在栈溢出基础上,利用程序中已有的小片段(gadgets),改变寄存器或变量的值,从而控制程序执行流程,从而绕过NX防御,常见有ret2text,ret2syscall,ret2libc(最常用)…**gadgets:**以ret结尾的指令序列,通过这些序列可以修改某些地址的内容。ROP攻击满足的条件:1.存在溢出,且可以控制返回地址2.满足条件的gadgets。
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
pwn1 一道pwn习题
05-07
pwn习题
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出习题目,每都有writeup.
jarvis oj level pwn level3 和 level2_x64
qq_44813849的博客
07-25 251
level2_x64 x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。我们要修改寄存器的值就得通过找到例如pop rdi;ret这样的函数,将值放在栈顶。 使用ROPgadget搜索操作寄存器的函数地址: ROPgadget --binary level2_x64 --only "pop|ret" (文件名自己取的) 看一下/...
BugkuCTF-PWNpwn3-read_note超详细讲解
am_03的博客
08-30 2557
知识点 puts()的特性 , puts()会一直输出某地址的数据,直到遇到 \x00 Canary最低位为\x00(截断符) \x 和 0x 的区别: 区别不大,都是把数按16进制输出。 1、0x 表示整型数值 (十六进制) char c = 0x42; 表示的是一个数值(字母B的ASCII码66),可以认为等价于: int c = 0x42; 2、\x42用于字符表达,或者字符串表达 char c = ‘\x42’; 亦等价于: char c = 0x42; char* s = “\x41\x42
攻防世界pwn新手区解-level3
weixin_62621015的博客
04-17 846
攻防世界pwn-level3详细解。
PWN基础知识及基础栈溢出手法
山高路远
04-12 3890
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
PWN入门必读
最新发布
Geek极安云科-致力于网络安全事业
01-28 822
书籍推荐:汇编语言第三版鸟哥的linux私房菜深入理解计算机系统黑客攻防技术宝典(系统实战篇) 一本老书,但是很经典。IDA pro权威指南 IDA学习的书籍黑客反汇编解密 关于反汇编和分析软件的知识加密与解密 windows平台的逆向分析看雪论坛 https://bbs.pediy.com学破解论坛 https://www.xuepojie.com吾爱破解 https://www.52pojie.cni春秋 https://www.ichunqiu.com。
看雪pwn入门--基础篇
泣当歌的计算机小白之路
03-28 2618
1.pwn理论基础  小菜: 什么是溢出 概念:在计算机中,当要表示的数据超出计算机使用的数据表示范围时,产生数据的溢出 原因:使用非类型安全的语言入C/C++等            以不可靠的方式存取或者复制内存缓冲区            编译器设置内存缓冲区太靠近关键数据结
CTF PWN基础知识(寄存器、栈、汇编指令、标志位)详解
weixin_43780092的博客
09-04 5188
本文详解PWN中基础知识,文中寄存器缩写都有标注上中文含义,方便初学者理解记忆。
ctf——pwn堆的基础知识
m0_64195960的博客
04-24 2261
1前言 一、笔者想说 笔者是一个不大聪明的pwn的新手,这是我根据《ctf权威竞赛指南》,b站课程,一些师傅的博客,ctfviki做的笔记,便于学习和复习 如果有错误的地方还请给位师傅指正 二、调试 下面所展示的gdb调试是根据一下调试的 注意: 1、调试记得执行到malloc后再去查看 2、记得编译 一、glibc堆概述 1)堆概述 堆是程序虚拟内存中由低地址向高地址增长的线性区域,出于效率和页对齐的考虑,通常会分配相当大的连续内存。程序再次申请时便会从这片内存中分配,直到堆空间
CTF比赛PWNsgtlibc通用快速解框架
serfend's blog
07-07 1506
开源地址:https://github.com/serfend/sgtlibc使用 安装pwn框架例:buuctf start system_bss_binsh_direct_x64 shellcode_orw_x86 例:buuctf pwnable_orw libc-leak_x86_puts 例:ctfshow ret2libc_64 内部赛_签到 libc-leak_x86_write_pure 例:buuctf jarvisoj_level1 libc-leak_x86_writ
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值