攻防世界 cgpwn2

最新推荐文章于 2022-11-05 16:00:22 发布
最新推荐文章于 2022-11-05 16:00:22 发布
阅读量404 收藏 1
点赞数 1
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012890095/article/details/108908829
版权
本文详细介绍了攻防世界cgpwn2的解题过程,包括题目描述、IDA反汇编分析及漏洞利用。通过分析发现程序使用gets函数导致栈溢出,由于未开启PIE,可以利用此漏洞构造payload,通过覆盖返回地址调用system方法执行'cat flag'命令获取flag。
摘要由CSDN通过智能技术生成

1.题目

2.IDA反汇编C程序

 

 

3.流程分析

 首先提示输入名字,然后提示输入一段信息,程序就结束了。很简单的流程,gets方法也存在明显的溢出。但是目前为止没有找到我们想要的flag。在方法区看到有pwn方法,点进去一看,额。。

没有找到可以直接利用的源程序方法,那就只能自己构造了。 可以看到方法区中是有system方法的。所以我们只需要构造它的的参数:“cat flag”.

PIE没有开,我们可以直接利用输入名字把参数存进去。下面是exp


                

        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  Nathan-Yang
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
攻防世界 when_did_you_born

				
			

			

				

					
				

				

					09-28
					
					265
					
				

			

		

		

			
				
1.题目



2.IDA反汇编C程序



3.程序流程分析

首先输入Birth,如果Birth==1926直接退出;否则,输入Name,这时,判断Birth是否==1926.等于则get flag。

很明显,输入名字就是专门为我们提供溢出点的。两个变量的位置如下图:



0x20 - 0x18 = 0x8

也就是说name和birth之间间距8个单元。exp如下


from pwn import *

#io = process('./when_did_you_born')
io = remo

			
		

	



                

            
              



	

		

			

				
					
攻防世界PWN新手练习区——cgpwn2

				
			

			

				

					smsyz2019的博客
				

				

					09-23
					
					337
					
				

			

		

		

			
				
攻防世界PWN新手练习区——cgpwn2
首先检查文件的有哪些保护
checksec cgpwn2


32位程序
用IDA反编译文件

main函数中只有hello函数,点击查看




			
		

	



              


  
              

                


	

		

			

				
					
[攻防世界]cgpwn2

				
			

			

				

					逆向萌新的博客
				

				

					06-11
					
					420
					
				

			

		

		

			
				
[攻防世界]cgpw2n

			
		

	





	

		

			

				
					
攻防世界pwn——cgpwn2

				
			

			

				

					qq_62076255的博客
				

				

					11-05
					
					374
					
				

			

		

		

			
				
攻防世界pwn——cgpwn2

			
		

	



		

			
		



	

		

			

				
					
[PWN](攻防世界)when_did_you_born

				
			

			

				

					ljh15937的博客
				

				

					09-17
					
					199
					
				

			

		

		

			
				
分析程序漏洞

通过 checksec 获取程序的基本信息

64位小端序
开启了Canary,使用了栈不可执行技术





使用 IDA Pro 对程序进行静态分析

需要在第二次输入名字时覆盖第一次输入的年龄





使用 GDB 动态调试程序

可以发现第二次输入的名字就在第一次输入的年龄的前面,可以轻松将其覆盖成 1926




利用程序
from pwn import *

context(arch = 'amd64')
context(log_level = 'DEBUG')
contex

			
		

	





	

		

			

				
					
攻防世界-cgpwn2

				
			

			

				

					qq_45771413的博客
				

				

					04-23
					
					291
					
				

			

		

		

			
				
查看保护
无栈保护,无PIE保护

IDA
两次输入,一个输入名字(限制了输入长度),一个输入信息(gets可以作栈溢出)

解题思路
shift+f12查找字符串并没有发现/bin/sh,可能需要自己整,或者藏在某个变量里
在找_system函数的过程中,发现了pwn命名的函数,进入发现有system调用,第一次做的时候看到system就乐了,直接溢出s,然后跳转到pwn地址,结果真就只有 hehehe ……


估计这是出题人的恶趣味……
后来我在函数列表里找到了真正的_system,括号内的comma

			
		

	





	

		

			

				
					
攻防世界pwn-cgpwn2

				
			

			

				

					a_silly_coder的博客
				

				

					01-15
					
					1473
					
				

			

		

		

			
				
下载文件后,首先检查保护:



随后将文件拖入ida,查看源码,在hello函数中,发现了如下代码



首先用安全的fgets输入了一个变量,接着用不安全的gets接收了一个变量,在此处可以确认是栈溢出,且溢出点就在此处。

开始寻找利用方式,发现了system函数



还缺一个"/bin/sh"字符串,找遍了代码,没有发现,但是由于此前可以有一个自己的输入,保存在name变量上,即可以自己手动输入"/bin/sh",自此,设计栈结构为:



开始编写脚本:




from pwn imp...

			
		

	





	

		

			

				
					
2. pwn入门新手做system没有参数(内含函数调用过程),需要自己构造的攻防世界cgpwn2,求大佬指教

				
			

			

				

					qiudalaojiao的博客
				

				

					02-07
					
					2060
					
				

			

		

		

			
				
我们拿到文件之后放到 linux里checksec一下  一个32位文件 ,开了nx  把文件拖入 ida f5开始分析
main 函数  我们看到了hello() 函数 点进去 进行分析
我们看到了比较重要的几行交互代码,,我们看看下面的部分首先要求我们输入一个名字,这个输入是通过fgets函数完成的,从键盘读取最多32h个字符到name区域

我上网百度了一下 fgets的函数原型
我们双击f...

			
		

	





	

		

			

				
					
攻防世界pwn新手练习(cgpwn2

				
			

			

				

					BurYiA的博客
				

				

					03-26
					
					546
					
				

			

		

		

			
				
题目链接
分析
我们来看这道题,首先checksec并运行一下

可以看到是32位程序,有两个输入点,保护只有 NX。
接下来我们在ida中看看分析。在hello函数的最后我们可以看到这些东西

这就是程序给我们的两个输入点,可以看到第二个是 gets ,那就很方便了,直接溢出利用就行,翻看其他函数我们可以发现有一个system函数

很遗憾的是只有system函数而没有我们需要的shellco...

			
		

	





	

		

			

				
					
攻防世界 Pwn cgpwn2

				
			

			

				

					MrTreebook的博客
				

				

					12-12
					
					647
					
				

			

		

		

			
				
攻防世界 Pwn cgpwn21.题目下载地址2.checksec分析3.IDA分析3.1.看一下溢出大小4.exp4.1.运行结果
1.题目下载地址
点击下载
2.checksec分析

只开启了NX保护,应该不会有太多障碍
直接进IDA看一下
3.IDA分析
main函数中有一个hello函数,我们直接看hello函数


可以看到第二个gets函数没有限制输入大小,很明显是栈溢出
再看看有没有其他后门函数

看到有一个pwn函数中调用了system

而且第一个gets函数输入的name正好是处于bs

			
		

	





	

		

			

				
					
攻防世界_pwn_cgpwn2(萌新版)

				
			

			

				

					TedLau的博客
				

				

					02-24
					
					396
					
				

			

		

		

			
				
首发于鄙人博客:传送门

0x00 前言


省略file checksec,此两步大家都能够实现。


0x10 步骤


0x10 hello函数


为32位文件,用32位ida打开后,可以发现如下hello函数





在hello函数中我们可以发现,他让我们输入两块内容,一个是name,一个是some message。


0x11 _system函数


 而在左侧的函数栏中,我们可...

			
		

	





	

		

			

				
					
攻防世界cgpwn2

				
			

			

				

					zyh18851473527的博客
				

				

					08-05
					
					924
					
				

			

		

		

			
				
首先checksec,之后放入IDA中

点进hello
发现gets()函数可能会存在栈溢出,然后我们点进name
发现 name 地址是固定的,那我们可以它写入 bin/sh ,接着看能不能找到system
找到啦!所以这个题目的思路是:通过栈溢出漏洞,调用system函数,同时在name中写入"/bin/sh",把参数地址设置为name的首地址,就可以getshell了!


gets() ...

			
		

	





	

		

			

				
					
[CTF-PWN]攻防世界新手村-when_did_you_born[wp]

				
			

			

				

					murongxuege的博客
				

				

					09-29
					
					641
					
				

			

		

		

			
				
事件起因(无语)
手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。
题目分析

开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。
从描述中可以看出当前程序是要进行年龄的输入操作的,有输入操作,还是在新手村,那么大概率是gets()等C函数输入漏洞,进一步猜测是普通的内存地址覆盖的题。
che

			
		

	





	

		

			

				
					
攻防世界pwn新手练习(when_did_you_born)

				
			

			

				

					BurYiA的博客
				

				

					09-16
					
					591
					
				

			

		

		

			
				
when_did_you_born
ok 多余的话就不继续累赘了昂,直接上手

程序同上次一样开了NX(堆栈不可执行)和CANNARY(栈保护)



			
		

	





	

		

			

				
					
攻防世界when_did_you_born

				
			

			

				

					Deeeelete的博客
				

				

					11-12
					
					216
					
				

			

		

		

			
				
题目:when_did_you_born


拖进pe查看文件详情


checksec查看

无PIE,堆栈不可执行,栈保护
运行跑一遍逻辑



进64位IDA调试

f5反编译main函数


得到源码

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  __int64 result; // rax@4
  __int64 v4; // rdx@9
  char v5; // [sp+0h] [bp-20h]@5
  unsig

			
		

	





	

		

			

				
					
攻防世界 - pwn - when_did_you_born

				
			

			

				

					qq726232111的博客
				

				

					03-16
					
					192
					
				

			

		

		

			
				
A、程序分析



 1、gets( 0 , rbp-20h ) -> rbp-20h 为缓冲区起始地址

 2、[rbp-18h] ==786h -> 执行cat flag

B、利用分析

 1、构造payload通过gets()覆盖rbp-18h的内容

    payload: 20h-19h(填充数据) + 18h-15h(0x0000786,判断条件) ...

			
		

	





	

		

			

				
					
攻防世界 - pwn - cgpwn2

				
			

			

				

					qq726232111的博客
				

				

					03-16
					
					236
					
				

			

		

		

			
				
A、流程分析



 1、将输入的用户名存储到全局变量

 2、通过gets()获取留言信息



B、利用分析

 1、gets( ebp-26h ) -> 26h(填充数据) + 4(ebp) + 4(返回地址) -> payload构造

 2、可利用函数

 

 在pwn函数有system函数,可通过该地址调用系统命令

 3、用户名使用的全局变...

			
		

	





	

		

			

				
					
攻防世界Fakezip杂项解题攻略

				
			

			

				

					
				

			

		

		

			
				
资源摘要信息:"攻防世界Fakezip杂项"  杂项类别在攻防世界的练习和比赛中通常指的是一些并不完全符合传统CTF(Capture The Flag)比赛中常见题型的题目,它们可能涉及各种不同领域的知识点,需要参赛者有广泛的技能...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值