pwn学习系列--任务4 pwn200

最新推荐文章于 2024-02-20 13:34:06 发布
最新推荐文章于 2024-02-20 13:34:06 发布
阅读量865 收藏 3
点赞数 2
分类专栏: pwn python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44113469/article/details/87005678
版权
本文介绍了pwn200题目的栈溢出漏洞利用,涉及Ret2libc技术,构造rop链来调用system函数执行/bin/sh。通过ida静态分析找到溢出点,利用read函数在bss段写入'/bin/sh',并返回到system函数的plt地址。详细解析了payload构造过程和相关知识点。
摘要由CSDN通过智能技术生成

栈溢出之pwn200解题步骤

主要涉及到Ret2libc–修改返回地址,让其指向内存中已有的某个函数,以及初步构造rop( Return Oriented Programming )

思路分析:有read函数,变量buf大小为0x68,read可写入0x100,可知有栈溢出。题目中只给出system函数,没有给出"/bin/sh",所以要自己通过read函数写入"/bin/sh",然后返回调用system函数。

0x01 查看题目信息,可知文件是32位
在这里插入图片描述
0x02 checksec 检查可执行文件属性

gdb pwn200
checksec

在这里插入图片描述
可以看到pwn200没有开启各种保护,RELRO为” Partial”,对GOT表具有写权限。

补充一下checksec相关知识:
1.canary,栈保护功能
2.fortify,判断程序哪些buffer会存在可能的溢出
3.nx,将数据所在内存页标识为不可执行
4.pie(aslr),内存地址随机化机制
5.relro,设置符号重定向表格为只读或在程序启动时就解析并绑定所有动态符号
具体的可看下面

最低0.47元/天 解锁文章
梦回Altay
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn100
pppp974的博客
07-18 260
这是一道64位的题,用rop来最终解决 exp如下: #coding:utf-8 from pwn import * from LibcSearcher import * io=remote('111.198.29.45',5) readn = 0x40063D start = 0x40068E read_got = 0x601028 put_plt = 0x400500 put_got = ...
攻防世界pwn——pwn-200
qq_62076255的博客
12-23 439
做题记录
一个简单的pwn例子---read函数
qq_41683305的博客
03-21 4034
内容: #include<stdio.h> void exploit() { system("/bin/sh"); } void func() { char str[0x20]; read(0, str, 0x50); } int main() { func(); return 0; } 我们要做的是利用溢出执行exploit函数 分析: 先...
PWN-题解
最新发布
2301_79215333的博客
02-20 757
检查文件,64位,开启NX保护拖入IDA打开,查看主函数双击查看可以看到buf的长度只有0x80,即可用栈大小只有108字节,但是read()并没有限制输入,显然存在栈溢出漏洞。在Functions window可以看到有一个callsystem()函数,按F5反汇编可以看到这是一个系统调用,存在system(“/bin/sh”)即使用栈溢出令返回地址指向该函数地址即可。
pwn基础知识笔记
月阴荒的博客
02-20 2353
算是总的开一篇文章,把学到的知识总结一下,之后会重复写到各个文章里面 checksec指令, 用来查询pwn题目的壳和保护,并且能够看到程序的信息 1.Canary保护 参考链接:https://blog.csdn.net/weixin_44540286/article/details/101629735?utm_source=distribute.pc_relevant.none-task Ca...
pwn学习系列--任务3 pwn100
weixin_44113469的博客
01-31 617
pwn100解题步骤 1.先将pwn100 文件copy到虚拟机里,查看一波,文件是32位的 2.ida里f5 查看main函数 查看buf大小64+4,但read可向buf读入0x100,可看出这是个栈溢出 3.找了老久,我勒个去,没有system函数,身为小白的我,一直纠结这是要干啥,我该怎么办。。。但有getflag函数,额----,flag.txt自己弄,flag文件记得写点东西,不...
pwn学习系列--任务2
weixin_44113469的博客
01-31 308
1.熟练掌握python字符串处理 2.至少熟练掌握zio或pwntools其中一种库的用法 这里只学习pwntools的用法,开始安装pwntools时真是崩溃了,刚装的ubuntu (yilianmengbi),后来在大佬的指导下终于成功安装。 第一步,先更新源 sudo apt-get update 第二步,装pip sudo apt install python-pip 第三步,安装...
2022年中职网络安全竞赛天津市赛任务九-PWN(2)
12-20
1.访问靶机 FSserver登录FTP,找到pwn1文件夹,下载内容进行作答,通过缓冲区溢出 对pwn1靶机进行破解,获取目标靶机 shell得到flag: Flagf}样例: flag{×xxx}。nc pwn1靶机ip 10000 2. 访问靶机FServer登录FTP,...
nodejs-trabalhofinal_pwn:PWN的最终工作
04-22
SM Solutions雇用您来开发产品,您可以在其中添加多个列表和每个列表的任务。 对于此解决方案,公司列出了以下要求: 出于安全原因,系统必须具有某种身份验证类型(使用password.js,auth0,firebase auth登录和...
ctf pwn 个人经验记录
jmp esp
05-22 8898
前言记录一下自己在做pwn的过程当中学到的一些东西,以前不知道的东西等等,碰到的坑也会记录在 这里,主要目的是帮助自己记录一下经验。其实每一道题基本上能学到的新东西是有限的,记录下来避免什么时候想不起来。顺序比较乱,基本上根据我做题的顺序定的,比较随意。pwnother place(not from ctf) 多用gdb调试,有思路可以先写出来调试一下看看效果再说 遇见pie考虑写malloc_h
SCTF 2014 pwn题目分析
weixin_30673611的博客
05-11 104
因为最近要去做ctf比赛的这一块所以就针对性的分析一下近些年的各大比赛的PWN题目。主防项目目前先搁置起来了,等比赛打完再去搞吧。 这次分析的是去年的SCTF的赛题,是我的学长们出的题,个人感觉还是很符合套路的:一道栈溢出、一道格式化字符串、一道堆溢出。 pwn200 一个栈溢出。 题目给出了libc。保护只有nx。 拿到题后的基本思路就是leak出got表中函数的地址,然后拿li...
pwn——20180831
原味瓜子、的博客
09-01 1056
Get a shell , come on ! 题目:https://pan.baidu.com/s/1dTE2MxfBvVYTS0MhJwj_vw 提取码:7wbc 工具: 题解: 1、首先file stack_3一下,32位的,gdb ./stack_3一下,run一下,输入即报错。 用ida打开,点进main函数,f5编译一下,读一下吧。 2、 int __cdecl mai...
BugkuCTF练习平台pwn3(read_note)的writeup
只影的博客
03-05 1497
在Bugku的pwn题中,这道题分值最高,也是难度最大的一道。难点在于,第一要读懂题目找出漏洞,第二是要绕过各种保护机制,第三是exp的编写调试。看一眼程序的保护机制,发现除了RELRO所有保护全开,还是有点头疼的,毕竟我刚开始学pwn没几天,还没有做过PIE和Canary的题目,所以调试还是花了不少时间的。 首先分析程序,重要部分如下所示。一开始会让你输入一个路径,不存在的话就会报错推出,然后打...
c语言中fgets()和read()的区别以及pwn题目中需要设置setbuf的原理。
fjh1997的博客
01-30 1984
fgets是一个c语言函数, read 是一个系统调用 fgets是标准c函数, read不是 fgets 读取的数据会存到缓冲区, read不会 fgets 通过文件指针读文件, read 使用文件描述符读文件 fgets 遇到回车就停止读取, 而read遇到回车、空格、\x00都不管,它会一直读取你让他读取的字节数,而如果在还没读取完需要的字节数前就已经空了,那么read将分类讨论(在管道通信的情况下,不是读文件): 此时如果没有进程在往这个管道里写东西(也就是把这个管道关闭了),read()就不报错,
pwn的五道基础题
lllwky的博客
03-27 6961
文章目录一:ret2text1:服务器地址与端口号2:传入参数3:参数的接收范围4:找到bin/sh所在的地址二:your_nc三:overflow四:printf1:找到如何进入/bin/sh2:找到sth的地址3:获得格式化字符串的偏移量五:rop拓展: 一:ret2text from pwn import * context.arch="amd64" io=remote("101.34.90.86",10002) secure_addr=0x400852 payload=b"a"*0x10+b"a"*
Buuctf pwn1_sctf_2016
qq_53809201的博客
03-19 505
checksec run ida 在程序中搜索既没有system又没有bin/sh,所以明显的rop nptr处可以使用整数溢出构造rop 然后可以利用printf函数来泄露程序的libc版本 覆盖返回地址执行system来getshell exp from pwn import * from LibcSearcher import * context(os = 'linux', arch = 'i386', log_level = 'debug') elf = ELF("./pwn2") loca
pwn system(“/bin/sh“)失败的原因
weixin_42016744的博客
01-11 2023
这里写自定义目录标题现象原因 现象 栈溢出做pwn 题跳转到system("/bin/sh")报错 打开gdb调试发现报错: 得知glibc2.27以后引入xmm寄存器, 记录程序状态, 会执行movaps指令, 要求rsp是按16字节对齐的, 所以如果payload这样写 payload = cyclic(0x20 + 8) + p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr) 弹出的数据是奇数个, 本地就会报错 但是改成偶数个pop payl
[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)
网络安全知识分享
03-28 4784
ROP-ret2libc-32实例 32位思路: 1、想办法调用execve("/bin/sh",null,null) 2、传入字符串/bin///sh 3、体统调用execve eax = 11 ebx = bin sh_addr ecx = 0 edx = 0 int 0x80 实例代码如下: 接下来我们检查保护 我们看到是有NX保护,没有canary和pie保护,我们使用ROP进行绕过。关键在于如何获取system 和 /bin/sh。 objdump -d -j .plt
ctfshow pwn
08-07
你想了解关于 CTFShow Pwn 的信息吗?CTFShow 是一个国内知名的CTF比赛平台,Pwn 则是其中的一个攻防领域,主要涉及利用漏洞进行系统攻击和控制的技术。在 CTFShow Pwn 中,参赛选手需要通过分析二进制程序的漏洞,利用它们来获取系统控制权,并完成指定的任务。这个领域需要对二进制程序分析、漏洞挖掘、堆栈溢出、ROP链构造等技术有一定的了解和实践经验。如果你对具体的题目或技术有更具体的问题,我可以帮你进一步解答。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值