攻防世界PWN题——level0

最新推荐文章于 2023-02-28 13:24:53 发布
原创 最新推荐文章于 2023-02-28 13:24:53 发布 · 3.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #p2p #wpf

本文介绍了如何分析64位Linux程序,发现并利用栈溢出漏洞。通过查看文件保护类型,发现只开启了NX保护。在IDA中分析代码,找到栈溢出点和目标函数地址,最终构造exploit实现控制流程,成功获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  嘿嘿,又是我,我又肥来了。今天带来的是攻防世界第三题的writeup,这次话不多说,我们直接进入主题。

  无论怎么样,pwn题前两步少不了——查看文件类型和保护类型:

 64位linux操作系统,只开了NX保护,再打开IDA看看。

将Hello,World显示到屏幕上,再点开函数看看:

可以看到,buf是分配了80个字节(从rbp-80-rbp+0) ,但是read函数读入了0x200字节,因此,这里明显有栈溢出,再点开buff看看:

可以看到,我们只需要将buf和s覆盖,也就是覆盖88个字节,再将下一条指令地址修改成获取flag的地址就好了,但是我怎么知道,获取flag的地址在哪?(r是存储下一条指令的寄存器吧) ,请继续看IDA:

 可以看到,获取权限的函数在这,即只需要把下一条指令的地址改写到这即可,再查看该函数地址:

0x400596,至此,我们便可以写出exp:

 

 运行可得:

   呼~终于写完了,好饿,吃饭饭去了,溜了溜了。

攻防世界(pwn篇)---level0
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 1864
攻防世界(pwn篇)—level0 文章目录攻防世界(pwn篇)---level0目描述基本情况分析运行分析IDA 分析分析出payloadexp 目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.Stack: Canary found 表示不能直接用溢
攻防世界pwnlevel0
Sakura给爷pwn全场
09-02 367
查壳64bit 拖进IDA f5查看伪代码 vulnerable_function中文译为脆弱函数,可疑,点进去查看vulnerable函数。 buf数组距离栈帧顶部rsp为0h,距离栈帧顶部rbp为80h,可知buf长度为0x80. 查看vulnerable函数栈 s代表save ebp,长度8个字节 r代表return address,长度8个字节,通常只要覆盖4个字节。 查看callsystem函数,代码段地址为0x400596 思路 把return address用callsystem函数
攻防世界新手PWN——level0
0pt1mus
12-19 1188
level0 转载自:superj.site的博客 0x00 首先,进行通过file判断附件文件类型。 判断是ELF文件。这时就可以通过checksec判断文件的保护措施。 得到只开启了执行保护,地址随机化、栈保护都没有开启。 0x01 开始IDA逆向分析。 在其中发现了main、vulnerable_function、callsystem函数逐个查看这三个函数。 发现该中用到了w...
[攻防世界]level0
逆向萌新的博客
06-17 333
[攻防世界]level0详解
攻防世界 Pwn level0
MrTreebook的博客
07-13 203
攻防世界pwn level0 下载本地文件拉到Kali 检查文件 file level0 checksec level0 没有开任何保护 拉进IDA看一下 在这里看到了 ”bin/sh" 可以在这里获取shell权限 目标明确 看到了vulnerable_function 很明显是栈溢出的操作 看一下栈空间 buf上需要覆盖 80-0+8 大小的数据 r 上弹 callsystem的地址即可 开始写exp ##coding=utf8 from pwn import * ## 构
攻防世界PWN-level0
Deeeelete的博客
11-12 3302
目:level0 老规矩先进PE 查看是64位程序,可以考虑直接IDA莽,也可以进checksec查一下详细参数 比较脆,无PIE且没了栈保护(Stack-canary),容易GOT改写( RELRO) 简单运行一遍,发现是hello word 进64位IDA 鼠标悬停在main函数上按f5反编译 查看源码: 过于简单,没啥可用的信息,双击它return的脆弱函数进一步查看 int __cdecl main(int argc, const char **argv, const
攻防世界-pwn新手区-level0
CHAWUCIREN1的博客
07-26 310
下载附件,执行一下,64位程序 checksec一下 NX执行保护开启 丢进ida里面分析一下 F5反编译 发现return到一个函数里面,点击查看一下 发现申请的栈空间是0x80,read的值却是0x200,说明存在栈溢出 然后点击callsystem这个函数, 发现shell,也就是说我们需要利用栈溢出覆盖到callsystem函数的返回地址0x400596执行shell。 查看buf的栈空间 shell_addr = 0x400596 payload = ‘A’*(0x80+8) + p.
攻防世界pwn新手练习区——level0
smsyz2019的博客
10-31 1753
这是一个简单的利用栈溢出漏洞进行简单的ROP 下载附件,将程序放进虚拟机中 拿到程序首先检查程序开启了什么保护,输入 checksec 程序名称 checksec level0 可以看到这是一个64位程序,只开启了NX保护。NX保护简单来说就是代码不可执行。 例如你向栈上输入一段shellcode,那么NX保护就是防止这个shellcode的执行。 具体内容和其他的程序保护可以参考这个博客。l...
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1789
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问 (其实就是让pwn使用本地的libc的问,省流:有突破性进展但没有完全解决
攻防世界——pwn(2)
weixin_44319142的博客
04-09 1412
hello_pwn 只有NX哟 没啥好说的,填充然后让60106c的位置为1853186401就可以啦 直接上exp from pwn import * p = process("./hello_pwn") p.recvuntil('lets get helloworld for bof\n') payload = "A"*4 + p64(1853186401) p.send(payl...
level0 -- 攻防世界新手
01-19
来自攻防世界pwn,是一道简单的新手样本目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问。漏洞利用问解决链接:https://blog.youkuaiyun.com/A951860555/article/details/112849849
攻防世界进阶Recho——知识点缝合怪
weixin_48066554的博客
09-20 1230
攻防世界进阶Recho——知识点缝合怪 文章目录攻防世界进阶Recho——知识点缝合怪引入初分析1、checksec2、主函数结构3、栈结构4、特殊字符串解过程1、gadget搜集2、GOT表详情3、函数参数说明exp(详细注释) 引入 好久没有做pwn了,手生的厉害,做道简单练练手好了 这道其实难度不高,属于那种开门见山把漏洞点抛出任君采撷的,但是由于涉及的知识点较多,在ROP链构造时需要有清晰的思路,对于我这样的小白来说自然是再好不过的练习。 初分析 1、checksec 目拿到手上,
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1592
学习pwn开始,慢慢来不要急
攻防世界pwn新手练习(level0
BurYiA的博客
10-24 1032
level0 老规矩哦,我们先checksec一下,收集一下信息 64位程序,开了NX,没啥说的,还在接受范围内,运行一下试试 唔,没啥东西,继续IDA吧。(╯‵□′)╯︵┴─┴ emmm,主函数倒是挺简单的,就一行打印,一行输入 但…不知你们有米有发现有个很奇怪的函数名,我们悄悄的瞅一瞅 果然不对劲,首先它的名字中有个system(手动加粗),这个是什么东西嘞,简单的来说,它拥有系统的最高...
初学pwn-攻防世界(level0)
天柱的博客
08-27 1288
初学pwn-writeUp 攻防世界的第三道目,level0。 首先还是先创建场景,使用nc进入远端,发现输出了一个Hello,World,之后什么都没有了,使用ls也没有反应,说明这需要我们获取shell了。 下载文件,先用checksec查看一下 这里简单介绍一些checksec这个工具: 1、Relro:No Relro(重定位表只读)   Relocation Read Only, 重定位表只读。重定位表即.got 和 .plt 两个表。   RELRO会有No RELRO、Partial RE
pwn_level0
qq_42956710的博客
08-15 2707
level0(deepin解记录) 打开链接: 判断了下文件类型及其保护 在终端里面运行一下: 64位的,所以就用idax64打开 看一下数据位置: 其中有bin/sh, 里面有几个函数需要看看,callsystem,main,read,vulnerable_function 栈溢出,由于没有NX保护和开栈保护,为了得到shell,可以找一个输入没有限制的...
攻防世界-level0
qq_45771413的博客
04-22 687
探路 只有NX 试运行: 平平无奇 IDA 找到了读取越界的地方: buf长度80,但是读取了512 解不相关但是想记一下怕又忘了:寻找buf的地址, ALT+T 查找字符串,选中最后的显示所有 学长support: 栈是存储局部变量的 使用完需要恢复成上一个函数的栈 结构如下: 数据 栈底地址(谁的?不吞掉后果如何) rip:返回的地址 写脚本的目的:把buf占满,吞掉rbp,修改rip的地址,跳转到指定地址 做到这其实卡壳了,其实还有shift+f12这个老朋友○| ̄|_ 敏感权
攻防世界pwn level0思路
nzw1134864657的博客
07-24 1924
先看看目的各种保护机制 栈不可以执行,我们用IDA打开看看 写进一个hello world的字符串,然后执行vulnerable_function()函数 跟进函数里查看 这里我不是特别理解,writeup上是这样写的 “这是 vulnerable_function 函数,可以在栈上写0x200个字节,或许我们可以进行溢出,覆盖掉返回地址,劫持程序执行流,执行我们想执行的方法。通常我们的目...
[攻防世界 pwn]——level0
Y_peak的博客
02-18 248
[攻防世界 pwn]——level0
攻防世界pwn新手答案
08-10
回答: 对于攻防世界pwn新手,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值