pwn-新手练习区

最新推荐文章于 2023-04-26 21:53:47 发布
最新推荐文章于 2023-04-26 21:53:47 发布
阅读量365 收藏
点赞数
分类专栏: 攻防世界 文章标签: pwn 攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/song_10/article/details/101471123
版权
本文介绍了两例Pwn类型的攻防世界挑战,通过IDA分析程序逻辑,重点在于利用输入覆盖变量值来获取flag。第一例中,需要覆盖v5使它等于1926;第二例中,通过构造payload改变dword_60106c的值为1853186401,以触发特定函数执行获得flag。
摘要由CSDN通过智能技术生成
  • when did you born

直接在IDA中分析,查看主逻辑:

主逻辑不复杂,程序有两处输入,注意力集中在后一个输入,第二次输入时,只要覆盖v5的值,使其等于1926就能获取flag。

 其中,var_20对应变量v4,var_18对应变量v5,构造payload覆盖v5的值,获取flag:

  • hello pwn

同样的,放入IDA分析主逻辑:

程序逻辑简单,而且函数sub_400686可以获取flag:

最低0.47元/天 解锁文章
song-10
关注
专栏目录
攻防世界pwn新手练习——level0
smsyz2019的博客
10-31 1692
这是一个简单的利用栈溢出漏洞进行简单的ROP 下载附件,将程序放进虚拟机中 拿到程序首先检查程序开启了什么保护,输入 checksec 程序名称 checksec level0 可以看到这是一个64位程序,只开启了NX保护。NX保护简单来说就是代码不可执行。 例如你向栈上输入一段shellcode,那么NX保护就是防止这个shellcode的执行。 具体内容和其他的程序保护可以参考这个博客。l...
攻防世界PWN新手WP
weixin_45461609的博客
02-23 1898
攻防世界PWNget shellwhen did you bornhello_pwnlevel2待更新 get shell nc + 地址 直接连接cat flag when did you born 运行一遍,报错,段错误,栈溢出 拖进IDA 可以观察到当v5==1926的时候就会cat flag 但是当v5 == 1926 的时候又会报错 观察到这里还有一个v4而且是栈溢出的点 不妨点进去...
攻防世界pwn新手练习-hello_pwn
CSDN_sunrise的博客
08-28 765
hello_pwn查看基本信息并运行文件 查看基本信息并运行文件
攻防世界PWN新手练习WP
Du3t
09-28 1405
近期笨逼菜鸡开始接触PWN 刷了刷攻防世界的题目 在这里记录下自己的学习成果 CGfsb 首先是PWN题的常规起手式 查壳查保护 捎带着看下程序信息 发现无壳 但是存在Canary保护和NX保护 这里先讲一下什么是Canary保护 Canary保护主要是用来防护栈溢出的 在开启Canary保护程序调用函数的时候 会在栈中压入一个随机Canary 在函数结束的时候程序会判断Canary是...
攻防世界 PWN新手练习 hello_pwn
m0_54262894的博客
08-19 174
攻防世界 hello_pwn 先checksec一下,只开启了NX保护 放入IDA中查看一下伪C代码 发现程序很简单,只有两个puts函数,一个read函数和一个if语句 通过读程不难发现read函数是我们攻击的一个点,只要覆盖了read函数分配的空间就可以做我们想要做的事情 双击sub_400686板块,发现可以直接执行 cat flag.txt 命令 那么思路就更加清晰了 所以让dword_60106C==1853186401就可以执行...
攻防世界pwn新手练习(string)
BurYiA的博客
12-25 1734
string 首先我们看一下程序的保护机制 程序开了NX(堆栈不可执行)、CANARY(栈保护)和PELRO 程序太长了,我们就不运行了,在IDA中我们查一下有没有什么明显的地方 在这个函数里面 我们发现了一个格式化字符串漏洞,在他的上面有两个输入点,一个是“%ld”格式,一个是“%s”格式 我们在往下看,紧接着的函数里有这么一个东西 代码执行,条件是a1这个数组里面的第一个数字等于第二个数字 ...
攻防世界 pwn 新手练习 level2
ChaoYue_miku的博客
07-05 969
题目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’ ** 0、使用file命令查看文件类型,使用checksec查看保护情况,尝试打开文件 ** 32位ELF文件,开启了NX保护和部分地址随机化 (其实checksec就有包含了file的功能) ** 1、使用IDA32 Pro打开文件 ** 题目描述中有提示:面向返回的编程(ROP),所以就要寻找并构造ROP链。 首先查看main()函数 发现有一个vulnerable_function()函数,点进去看一下
攻防世界-pwn 新手练习
hanqdi_的博客
02-24 2461
when_the_your_born 要求v5=1926即可得到flag,而根据程序,v5只要等于1926就进入不了这个分支,也就是说,我们输入的v5不能等于1926。 这里可以利用gets函数的输入v4,来覆盖v5。 v4:ebp-0x20 v5:ebp-0x18 v4和v5相差0x08,即在输入v4时,先输入0x08个垃圾数据,在输入1926即可实现覆盖。 payload如下 from pw...
pwn 练习
zip471642048的博客
05-31 473
文章目录read_shellcode read_shellcode 师傅出的一个栈溢出的题,思路就是利用read往bss段写入shellcode然后调用 日常checksec一下,啥都没开 运行主程序可以看出来,程序读入了一个字符串无打印 gdb调试的时候可以看到是调用了plt的read函数,说明他读入字符串是用的read@plt,我们可以用read往栈或者bss段写东西,或者利用gadget系统调用 这么几个gadget明显不够,系统调用pass 可以看到栈可以读可写,bss段也是
攻防世界pwn新手练习通关教程
玄道的网安博客
05-19 3752
when_did_you_born 我们通过溢出来覆盖v5为1926即可 代码块 from pwn import * r = remote("124.126.19.106",31534) payload = 'a'* (0x20-0x18) +p64(1926) r.recvuntil("What's Your Birth?\n") r.sendline("2000") r.recvuntil("What's Your Name?\n") r.sendline(payload) print r.re
xctf-pwn新手 【第一题】
mid2dog
09-22 2716
前言 书本知识学的差不多了,是时候不看题解来自己做题了(雾) 正文 攻防世界新手pwn第一题——level2 下过来附件就一个,没有libc可以连,应该是很适合萌新的 先用虚拟机checksec 看保护,顺便连一下看看 感动,32位小端序,保护只开了一个NX 好像输入什么都会返回123 打开ida反汇编看看 有这么多函数,从main入手 已经有一点汇编基础了,勉强能看懂。 但还是F5查看伪代码看的爽快 双击第一个函数进去看看 这里已经可以看到是一个简单的栈溢出了。因为定义buf是0x88个字
CTF | PWN练习
qq_42646885的博客
07-26 2274
预备知识: 1、了解PWN(溢出) PWN是一个黑客语法的俚语词,自"own"这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的 情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:"You just got pwned!")。有一个非常著名的国际赛事叫做Pwn2Own,相信你现在已经能够...
2019.7.26 攻防世界Stack2 以及gdb 和IDA偏移
DSR446的博客
08-19 2547
我们很明显这里有一个数组越界的漏洞我们可以利用。 [这个博客写的很详细]https://blog.csdn.net/qq_41071646/article/details/86600053 下面我就只介绍一下怎么算的偏移。 ...
PWN:栈溢出----偏移计算
m0_53932372的博客
08-03 2202
就目前遇到的栈溢出题目而言,使用ida就可以完成便宜的计算。 这些栈溢出题目,基本上不需要调试,ida本身提供的栈空间数据就可以实现偏移计算。 BUUCTF:bjdctf_2020_babystack2 这道题目,我们看ida: 具体做法不细说,主要看偏移: buf和nbyte 看栈空间: 下方没有s只有r,而r就是返回地址 给了后门函数,那就利用read函数,达到缓冲溢出的目的。 +0x8-(-0x10)=0x18=24 偏移就是二十四。 以上只是本人拙见,栈溢出偏移困扰了我很久,希望这次不会
IDA调试干货
box_kun的博客
03-02 3123
1、 IDA中各种命名前缀(sub、loc、offset等)的含义 IDA自动生成假名字。他们用于表示子函数,程序地址和数据。根据不同的类型和假名字有不同前缀 sub_ 指令和子函数起点 locret_ 返回指令 loc_ 指令 off_ 数据,包含偏移量 seg_ 数据,包含段地址 asc_ 数据,ASCII字符串 byte_ 数据,字节(或字节数组) word_ 数据,16位数据(或字数组) dword_ 数据,32位数据(或双字数组) qword_ 数据,64位数据(或4字数组) f.
安卓逆向-IDA动态调试 | 自毁程序的反调试
Samsam的博客
03-11 1587
IDA动态调试 配置: #把本地文件推送进手机目录 adb push android_x86_server(cpu型号要对应 模拟器是x86) /data/local/tmp/ #进入手机shell adb shell #真机要使用 su 命令 切换到root用户,模拟器不用 #进入手机tmp目录 cd /data/local/tmp/ #修改权限 chmod 777 android_server #运行 ./android_server #在本地执行adb 做端口转发 adb
CTFPWN的一些题型(持续更新......)
qq_44371274的博客
04-05 2284
ret2test 先运行一下,看程序做了些什么 发现只是让我们输入一串字符。接下来具体分析下属性,并且丢进gdb里分析一下 可以看到这是一个64位的程序,而且什么保护都没有开,接下来拖进IDA里继续分析 我们进入v4 F5反编译之后,可以很明显地看出程序有gets输入漏洞,gets可以读取无限长的字符串,我们就可以利用这个漏洞造成了一个栈溢出 发现分配的栈的空间大小是70,由于程序在返回地址前...
pwn的五道基础题
lllwky的博客
03-27 7555
文章目录一:ret2text1:服务器地址与端口号2:传入参数3:参数的接收范围4:找到bin/sh所在的地址二:your_nc三:overflow四:printf1:找到如何进入/bin/sh2:找到sth的地址3:获得格式化字符串的偏移量五:rop拓展: 一:ret2text from pwn import * context.arch="amd64" io=remote("101.34.90.86",10002) secure_addr=0x400852 payload=b"a"*0x10+b"a"*
pwn 例题level2解析
最新发布
m0_67423114的博客
04-26 531
下面就是寻找bin/sh了,由于题目较为基础,我们甚至能够直接在源代码中找到/bin/sh,利用它和main函数已存在的system函数,即可凑齐构造payload的全部材料。看开头英文变量以及观察末尾,可知Frame Size大小为0x88,Saved regs大小为0x04,即需要写0x88+0x04个填充后才能到达返回地址。可以看到存在一个缓冲buf,并且大小为0x88,并且该函数返回了一个read函数,大小为0x100u,双击&buf变量具体查看。通过这种套路,确实获得了/bin/sh的地址!
攻防世界hello pwn WP(pwn入门基础题)
m0_62584974的博客
11-21 2224
攻防世界hello pwn WP(pwn入门基础题)的简单讲解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值