攻防世界 welpwn

最新推荐文章于 2024-12-26 13:14:07 发布
原创 最新推荐文章于 2024-12-26 13:14:07 发布 · 365 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了攻防世界welpwn题目的解题过程,通过IDA分析,发现存在栈溢出,但无直接利用的system或/bin/sh字符串。通过两次溢出,第一次利用POP指令清除栈上内容,改变执行流程,获取write地址,然后利用ROPSearcher找到libc中的system和/bin/sh。最终构造两次不同的payload实现目标。

1.题目

2.IDA分析

3.流程分析

流程很简单,输入buf,这里不存在溢出,然后进入echo方法,将buf复制到s2,当遇到\x00就结束。这个条件会导致p64(addr)后面的内容被截断(地址经p64包装后肯定会出现\0x00)。栈结构如下:

 

 也就是说,s2只能复制buf前面32个单元的内容。为了使32位后面的内容得以执行,我们需要在ret位置跳去执行四个pop指令,去掉buf前32位内容(也就是复制到s2里面的这些内容),这样就能连贯执行32位之后的内容了。

所以,目前payload = ‘A’ * 24 + p64(addr_pop4) 

观察ida的function区没有发现system方法,string区没有发现/bin/sh。题目也没有给出libc,所以只能溢出write(为啥是write?因为write好用!)的地址,然后使用ROPSearcher获取libc里面的system和/

最低0.47元/天 解锁文章
【PWN系列】攻防世界pwn进阶区welpwn分析
Vicl1fe的博客
10-11 541
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 分析 下载文件直接拖入ida分析。开了NX保护,一般就是rop 函数代码也比较简单。read那里也不存溢出。都是0x400。 紧接着调用了echo函数。 在echo函数中,将大小为0x400的buf中的值复制给大小为0x10的s2,。很明显会造成溢出。唯一的问题就是,如果Buf中含有\x00。会中断循环。 函数运行的整体流程就是,用户输入的字符串会存放到buf中,在echo函数中,将buf复制到s2时造成了溢出。通过循
攻防世界welpwn
weixin_56777139的博客
03-08 305
攻防世界welpwn
[攻防世界]-welpwn
m0_55906008的博客
12-05 724
pwn
攻防世界)(pwn)welpwn
PLpa的博客
07-18 2805
首先,放在最前面:这题服务器远端的libc版本是libc-2.23.so而不是libc-2.19.so的版本(害得我编译半天出不来) 看到题目,我们下载附件,一看是个tar.gz文件,我们解压一下,发现里面有三个文件: 我就心想,这个攻防世界怎么就这么好心这次,以前要给的时候从来不给,这次这么大方???答案是大错特错,这就是个骗局,这个反而是个障碍,版本根本就是错的(但仔细一想,有可能是出题者故...
攻防世界 Pwn welpwn
MrTreebook的博客
12-25 2623
攻防世界 Pwn welpwn1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary 没有PIE 3.IDA分析 main函数中有一个可以输入的地方,但是不能溢出 接着往下看 在eho函数中,缓冲区至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到一个特殊的gadget,它就是破题的关键 我们
攻防世界welpwn解题方法
liucc09的博客
01-07 486
分析 题目很程序很简单,输入字符串,将遇到\x00前的字符拷贝给s2数组,如果拷贝数量大于s2在栈上的空间就会发生溢出,可以覆盖到ret的位置从而控制程序流。 需要注意的是覆盖ret用的地址肯定会包含\x00,因此构造的rop链会断开,所以需要想办法。 解决办法为通过一串pop ret指令将栈上内容弹出,然后直接连接到buf所在位置继续rop链的执行。 输入buf后栈空间如下所示,可以看出在ret指令的位置填入一个具有四个pop再加一个ret的地址刚好能弹出buf中已经用掉的4*0x8个字节,然后就能续上
攻防世界高手进阶区 ——Welpwn
weixin_62675330的博客
03-21 1241
攻防世界高手进阶区 ——Welpwn 分析文件 checksec分析 coke@ubuntu:~/桌面/CTFworkstation/OADW/welpwn$ checksec welpwn [*] '/home/coke/桌面/CTFworkstation/OADW/welpwn/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX e
[攻防世界 pwn]——welpwn
Y_peak的博客
02-20 414
[攻防世界 pwn]——welpwn 题目地址: https://adworld.xctf.org.cn/ 题目: 我只能说这道题太巧了, 实在太巧了。我想出来一个名词叫做栈连接 还是先checksec一下
攻防世界 welpwn WP
Zarcs_233的博客
01-29 1031
这道题出的确实很wel 拿到这题,查看保护 发现shellcode走不通,一般都是走rop路线 IDA打开,分析代码,发现main函数内调用了echo函数 这里的buf有0x400大,但是main不存在栈溢出,继续点开echo 这里我们发现有一个赋值的过程,但是a1也就是buff有0x400,而s2只有0x10字节。 很明显,复制过程中存在栈溢出,但是我一开始没发现这一点,那就是这个赋值的终止...
攻防世界-PWN进阶区-welpwn(RCTF-2015)
weixin_44145820的博客
02-27 1193
题目分析 首先看一下开了哪些保护 因为开了NX,所以考虑使用ROP或者return-into-libc 用IDApro分析一下源代码 可以看出main函数中不存在注入点,我们看一下echo函数 在eho函数中,缓冲区至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到...
welpwn pwn 入门题
02-11
pwn 入门题
welpwn::sparkling_heart:CTFpwn框架
02-04
介绍 修剪是一门艺术。 welpwn旨在制作艺术品,使您摆脱数十种毫无意义的工作。 产品特点 自动为您获取那些魔术值。 libc address heap address stack address program address (带有PIE ) canary 支持多glibc调试。 2.19、2.23-2.29 32位和64位 调试增强(支持PIE )。 符号 断点 杂项 libc-database one_gadget 堆? 好吧,不支持堆分析。 但是我有一个给你的礼物。 安装 您有两种使用welpwn 。 通过安装 从0.9.3版本开始已添加setup.py 。
攻防世界pwn(warmup&welpwn)
song_10的博客
05-21 547
攻防世界pwn题题解记录
DOSBOX中debug常用指令的使用
热门推荐
weixin_47586883的博客
10-22 1万+
仅作为个人学习笔记 挂在文件这些操作就不说了吧,一张图就够了 进入虚拟c盘,输入debug。 接下来先了解一下常用的一些debug中的命令。(命令不区分大小写) 一、查看、修改CPU中寄存器的内容:R命令。 1.直接输入r,查看寄存器中的内容: 2.改变寄存器中的内容: 可以观察到ax中的内容由0000改变成了ab23。 二、查看内存中的内容:D命令。 1.直接输入d,可以查看预设地址内存处的128个字节的内容: 输入r查看的内容中最下面一行就是当前所在的地址,即073f:0100,再输入d查看的就
welpwn [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列24
重新启程
12-27 1365
题目地址:welpwn 本题是高手进阶区的第13题,先看看题目 照例检查一下保护机制 [*] '/ctf/work/python/welpwn/a9ad88f80025427592b35612be5492fd' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found ...
攻防世界-PWN-Challenge-Wirteup
07-29 983
目录 dice_game 反应釜开关控制 dice_game 这个提跟新手区一个题很像,都是利用溢出覆盖随机数的种子,使得随机数产生的序列固定,在本地产生序列后脚本提交就可以了 ida查看程序 栈信息: 将seed覆盖为全0,使用c在kali中跑一下: #include <stdlib.h> #include <stdio.h> int main() { srand(0); for(int i = 0; i < 50; i++) { i.
welpwn(xctf)
weixin_43868725的博客
06-15 295
0x0 程序保护和流程 保护: 流程: main() echo() echo函数中存在明显的栈溢出漏洞。 0x1 利用过程 使用x64的通用gadget,泄露write函数的地址。使用LibcSearcher查出相应的libc,得到system函数和/bin/sh字符串的地址就可以getshell了。但是理想是丰满的现实是骨感的,exp写完后一直报错。用GDB查看一下core。发现确实覆盖了返回地址但是后面紧接着是输入缓冲区中的数据。回过去看echo函数,发现在写入s2的时候/x00会被截断,这种截断
Welpwn:一款强大的CTF Pwn开源框架
最新发布
gitblog_00665的博客
12-26 283
Welpwn:一款强大的CTF Pwn开源框架 Welpwn是一款专为CTF(Capture The Flag)竞赛中的Pwn挑战设计的开源框架。该框架旨在简化Pwn挑战的流程,让参与者能够更加专注于技术挑战本身。该项目主要使用Python编程语言开发,同时也包含了一些C语言的元素。 核心功能 Welpwn的核心功能包括: 自动获取程序的关键地址,如程序地址、堆地址、栈地址和Canary值。 支...
攻防世界CTF杂项挑战详解
资源摘要信息:"攻防世界是一个以网络安全攻防竞技为主的在线平台,而CTF(Capture The Flag,夺旗赛)是一种流行的信息安全竞赛。在这个平台上,参赛者会遇到各种类型的问题,其中包括杂项(misc)类别。杂项题目...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值