攻防世界PWN新手题(PWN——level2)

最新推荐文章于 2023-02-28 13:24:53 发布
最新推荐文章于 2023-02-28 13:24:53 发布
阅读量886 收藏 4
点赞数
分类专栏: CTF 文章标签: 安全 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43713800/article/details/103638630
版权

level2

转载自原创superj.site

0x00

首先通过file和checksec分析该题的附件。

在这里插入图片描述
判断该文件是32位的ELF文件,只开启了不可执行的保护。

0x01

开始进行反汇编,用IDA 32位。

通过左侧的函数窗口发现,只有main、vulnerable_function可用,因此进行分析,两个函数如下图:

在这里插入图片描述

在这里插入图片描述

通过分析发现,在main函数中首先调用vulnerable_function,在vulnerable_function中的缓冲区大小为88h,而read函数能够写进缓冲区100h,因此存在栈溢出。

知道是栈溢出之后就需要找到溢出点:缓冲区大小加上ebp的4个字节后,就是返回地址的位置。

在这里插入图片描述
发现在ELF文件中存在字符串“/bin/sh”,而且在主函数中最后会再次调用一次system函数,因此判断可以返回最后一次调用的位置。因此构造payload。

payload = 'a' * 0x88 + 'a' * 4 + p32(0x0804849e) + p32(0x0804a024)

最后的0x0804a024/bin/sh的地址。

0x02

最后的exp为:

在这里插入图片描述

0x03

在这里插入图片描述

最后获取到shell,cat flag得到flag。

0pt1mus
关注
专栏目录
攻防世界(pwn篇)---level2
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-15 1529
攻防世界(pwn篇)—level2 文章目录攻防世界(pwn篇)---level2目描述基本情况分析运行分析IDA 分析分析出payloadexp 目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 运行分析 IDA 分析 ssize_t vulnerable_function() { char buf[136]; // [esp+0h] [ebp-88h] BYREF system("echo
攻防世界(pwn篇)---level0
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 1584
攻防世界(pwn篇)—level0 文章目录攻防世界(pwn篇)---level0目描述基本情况分析运行分析IDA 分析分析出payloadexp 目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.Stack: Canary found 表示不能直接用溢
攻防世界pwn新手练习(level2)
BurYiA的博客
12-24 736
level2 可以看到上已经有提示了(ROP) 我们看一下程序的保护状态和它的运行情况 开了NX,问不大。运行可以发现有一个输入点 放IDA里看看 在字符串窗口可以发现有system和**/bin/sh** 这就很舒服了呀,再结合一下目给的提示,构造ROP链就行 1 1 ...
攻防世界 pwn新手 level2
kwist_jay的博客
06-14 485
这里我们先下载附件,查看一下文件信息: 32位的i386程序,这里我们用IDA32打开,查看main函数的伪代码 顺藤摸瓜找到输入点buf: 这里我们查看buf的栈结构,他只用了0x88字节但是给了100字节的输入空间,明显的栈溢出 最后两位的返回值s是一个4字节的数组,r为程序返回的地址,就是我们要操作的东西 初步的payload可以定为 'a'*0x88+'aaaa'+..... 我们再往下看,做pwn一般就是找到system函数然后运行自己的命令,所以我们找到了_sy...
攻防世界 - pwn - level2
qq726232111的博客
03-16 233
A、程序分析 1、使用了system() 2、read() -> 缓冲区溢出 3、 程序包含/bin/sh命令 B、利用分析 1、read(0,ebp-88h) --> payload ebp-88h --- ebp-1h (88hbyte 填充数据) ebp --- ebp+3h (4byte 填充...
攻防世界PWN-level2
Deeeelete的博客
11-13 788
目:level2 开PE看信息,进checksec看详情 进checksec,查看到程序无PIE,堆栈不可执行,无栈保护 跑一遍逻辑,还是hello word 于是开32位IDA查看 f5main函数 看源码,主要就是echo了一个hello world,同时很明显上方有一个显眼的脆弱函数 双击进入脆弱函数查看 单独摘出源码 ssize_t vulnerable_function() { char buf; // [sp+0h] [bp-88h]@1 system("ec
攻防世界pwn新手练习区——level0
smsyz2019的博客
10-31 1674
这是一个简单的利用栈溢出漏洞进行简单的ROP 下载附件,将程序放进虚拟机中 拿到程序首先检查程序开启了什么保护,输入 checksec 程序名称 checksec level0 可以看到这是一个64位程序,只开启了NX保护。NX保护简单来说就是代码不可执行。 例如你向栈上输入一段shellcode,那么NX保护就是防止这个shellcode的执行。 具体内容和其他的程序保护可以参考这个博客。l...
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1410
学习pwn开始,慢慢来不要急
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1585
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问 (其实就是让pwn使用本地的libc的问,省流:有突破性进展但没有完全解决
[攻防世界 pwn]——level2
Y_peak的博客
02-18 299
[攻防世界 pwn]——level2 目地址: https://adworld.xctf.org.cn/ 目: 32位程序 IDA中, 找到system和 ‘/bin/sh’ 地址进行覆盖 exploit from pwn import * p = remote("111.200.241.244",55083) system_addr = 0x0804845C binsh = 0x0804A024 payload = 'a' * (0x88 + 0x4) + p32(system_addr
攻防世界pwn pwn_level2
qq_44370676的博客
08-14 333
首先下下来的文件查壳以及查保护机制
攻防世界 pwn 新手练习区 level2
ChaoYue_miku的博客
07-05 957
目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’ ** 0、使用file命令查看文件类型,使用checksec查看保护情况,尝试打开文件 ** 32位ELF文件,开启了NX保护和部分地址随机化 (其实checksec就有包含了file的功能) ** 1、使用IDA32 Pro打开文件 ** 目描述中有提示:面向返回的编程(ROP),所以就要寻找并构造ROP链。 首先查看main()函数 发现有一个vulnerable_function()函数,点进去看一下
攻防世界 Pwn level2
MrTreebook的博客
07-16 514
攻防世界pwn level2 1.file 和 checksec 先走一遍 是一个32位的文件 看到 RELRO的状态是 Partial 2.放进IDA32看一下 有一个system函数 进入vulnerable_function看一下 buf可以溢出 进入栈空间看看 136byte的buf再加上4byte的数据溢出返回system的地址 本开始前就提示我们用ROP 现在去plt表上暴露system的地址 3.编写exp 先构造paylod system_plt = elf.plt["syst
攻防世界pwn-level2】
a_silly_coder的博客
01-14 260
下载文件后,首先查看保护 将文件拖入ida 32位,发现函数名明示了攻击点 点进vulnerable_function函数后,发现buf距离ebp有0x88的距离,但是可以读入0x100的大小,确定这是一道栈溢出的目,溢出点就在此处。 确定溢出点后,开始寻找利用方式,发现代码中给出了system函数,在0x8048320的位置 随后寻找sh或者bin_sh字符串: 此时要素齐全,开始编写脚本。 设计栈的结构为: 脚本为: 发送脚本,开始攻击: ...
攻防世界pwn新手wp(通俗易懂)
njh18790816639的博客
03-10 1831
get_shell 这道先看看附件,探查一下信息,再用ida打开,就可以发现伪代码其实很简单的: 然后在远程连接这个端口进行攻击了。 并且我们能看到它的大致防护信息,然后来个脚本: 此时就可以进行攻击了。 这样子flag就拿到了。 CGfsb 刚开始先在windows里进行一番静态调试: 大概的知道了一些漏洞,和一点信息,我们就可以进行破解了。 ...
攻防世界_pwn_level2(萌新版)
TedLau的博客
02-24 2449
首发于鄙人博客:传送门 0x00 前言 32位,NX enabled 0x10 步骤 0x11 main函数 很明显我们需要去查看vulnerable函数。 0x12 vulnerable函数 在这里我们需要向目中输入若干内容,又观察到buf的长度为0x88,那么我们便可以构造出0x88长度的无关数据,然后再输入4个长度的垃圾数据以覆盖ebp,然...
攻防世界新手练习_PWN(漏洞利用)
菜鸟-传奇
08-26 468
攻防世界新手练习_PWN(漏洞利用)
【愚公系列】2022年01月 攻防世界-简单-PWN-002(level2)
热门推荐
时光隧道
01-18 3万+
文章目录一、level2二、答步骤1.获取在线场景2.查壳3.IDA总结 一、level2 目链接:https://adworld.xctf.org.cn/task/task_list?type=pwn&number=2&grade=0 二、答步骤 1.获取在线场景 2.查壳 对下载文件进行查壳,命令如下 file level2 checksec --file=level2 分析文件,小端程序(LSB),栈不可执行。 3.IDA 使用IDA对文件进行反汇编 第一步:首先找到ma
攻防世界pwn新手练习(CGfsb)
BurYiA的博客
09-15 1692
CGfsb ok,按照惯例,拿到程序后先扔到Linux下查一下基本信息 32位程序,开了NX(堆栈不可执行)以及CANNARY(栈保护) 貌似有一丝丝头疼嗷,咱们运行一下,看看它的程序逻辑 唔,是一个留言板,可以输入的地方有两处,一处是名字,一处是留言内容。ok,可以扔进IDA分析了。 F5后直接看程序伪代码 很明显,我们需要让pwnme这个变量的值等于8,然后便可以拿到flag文件中的东西,...
攻防世界pwn新手答案
最新发布
08-10
回答: 对于攻防世界pwn新手,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值