攻防世界 Pwn pwn-100

最新推荐文章于 2025-11-21 17:07:25 发布
原创 最新推荐文章于 2025-11-21 17:07:25 发布 · 737 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文详细分析了一个64位程序的栈溢出漏洞,通过IDA逆向工程揭示了程序结构,并利用DynELF库泄露libc地址。通过精心构造的payload,实现了控制程序流程,最终获取了系统的控制权。过程中涉及了x64下的函数调用机制、ROP链构造及/bin/sh的注入技巧。

攻防世界 Pwn pwn-100

1.题目下载地址

点击下载

2.checksec

在这里插入图片描述

64位程序,目前还什么都看不出看来,直接拉近IDA看看

3.IDA分析

在这里插入图片描述

在这里插入图片描述

  • 整个程序由3个嵌套的程序组成

  • 我们可以看到sub_40063D是主要的程序,接受单个字符并存储到传入的参数a1所指向的空间之内

  • 同时分析sub_40068E发现sub_40063D中a1就是sub_40068E中的v1

  • 并且v1的栈空间大小就只有0x40,而sub_40063D接受的输入量有0x200个字节,这样就存在栈溢出漏洞了。

  • 在这里插入图片描述

  • 通过分析函数列表,里面有puts这个库函数,联系pwntools中的DynELF,我们可以将libc的地址泄露出来,再来构造ROP

  • 64位程序构造ROP与32位程序不一样
    x86中,函数调用是直接将参数压栈,需要用的时候直接将参数放在栈上,调用的函数就能直接取得参数并运算。如图:
    在这里插入图片描述

调用read函数的时候,参数直接放入栈中,但是x64的程序不一样,x64的gcc优化了x86的传参方式,x64程序设立了几个寄存器李存放参数,调用函数的时候先向寄存器之中放参数,当参数的数量大于寄存器的时候,才会向栈中放参数。
在这里插入图片描述

这是本题中的sub_40068E函数,可以看到其参数是放在rdi和esi两个寄存器之中的,这就是两种结构的不一样,如果要在x64的程序之中构造rop,我们就必须向寄存器存放参数。
在这里插入图片描述

可看出只要rbx和rbp不相同就会跳转回去循环,这是我们不允许的,我们需要控制程序流ret到我们需要的地方去,故预先设置rbx=0,rbp=1即可让程序继续执行我们构造的ROP链。故可以构造payload1=‘a’*0x48+p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main) 泄露puts的地址,从而确定libc和libcbase
在这里插入图片描述
经过查找发现不存在/bin/sh,需要自己写入,gdb中vmmap发现0x601000为基址的地址可写,到ida查找,选择0x601040进行写入
在这里插入图片描述

4.exp

from pwn import *
# context.log_level = 'debug'
io = remote(
最低0.47元/天 解锁文章
攻防世界 pwn-100
weixin_56777139的博客
03-20 494
此处有一处值得一提,发送payload时注意sendline和send,sendline会自动在200个字符后加’\n’,缓冲区内则为200个字符加’\n’的形式,当复制200个字符串后返回主函数地址,缓冲区内还有’\n’,而主函数没有刷新缓冲区,所以返回主函数后进入下一轮的复制函数会将缓冲区头部的’\n’复制到内存中。构造新的payload,注意上述说的sendline和send对于此处的影响,若之前处用的sendline,那此处b’a’数量为0x48-1=0x47即可。此时即可接收泄露的内容。
攻防世界 pwn--pwn-100
YANG12345_6的博客
11-28 3573
一、checksec一下 开启了NX 二、 file一下,查看文件属性 64位文件 三、执行 让用户不断输入 四、拖进ida里分析看反汇编代码 主要代码: 数组v1的大小是0x40,后面利用的read函数的size是0xC8,有栈溢出漏洞 五、在ida里没有找到可以利用的system("bin/sh)和system("cat flag") 六、原程序中没有调用system函数,在GOT和PLT表中没有随system函数的记录,只能从libc中寻找system函数 有puts和read函数,可以利用
攻防世界Pwn 引导模式 WP
最新发布
m0_55433185的博客
11-21 1163
重新梳理一下pwn的基础的目类型,理解pwn的全部的流程,这里从攻防世界pwn的引导模式开始。博主才疏学浅可能有些地方没讲清楚请见谅。内容会不定时更新。
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 638
攻防世界进阶PWN-100 做这道的时候远程环境可能有点问,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
[攻防世界 pwn]——pwn-100
Y_peak的博客
02-21 416
[攻防世界 pwn]——pwn-100 目地址: https://adworld.xctf.org.cn/ 目: checksec一下 IDA中 sub_40063D函数的作用就是读入200个字符, 不然不退出循环 思路 leek出来一个地址, 然后找到libc, 计算偏移找到system 和 ‘/bin/sh’ 循环调用, 得到shell from pwn import * from LibcSearcher import * #p = process("./pwn") p = remo
攻防世界-pwn pwn-100(ROP)
菜的只能随便写写博客
11-05 3168
是LCTF 2016年的pwn100 参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&ctid=157 0x01 文件分析 64位elf 无stack 无PIE   0x02 运行分析  看起来像一个无限循环,不断接收输入。   0x03 静态分析 main: sub_40068E: ...
攻防世界(Pwn) PWN100
半岛铁盒的博客
03-23 323
同时这里还存在一个 v1溢出点 我们知道x86都是靠栈来传递参数的而x64换了它顺序是rdi, rsi, rdx, rcx, r8, r9,如果多于6个参数才会用栈我们要先知道这个特性 这,里面既没有现成的system也没有/bin/sh字符串,也没有提供libc.so给我们,那么我们要做的就是想办法泄露libc地址,拿到system函数和/bin/sh字符串,这呢,我们可以利用put来泄露read函数的地址,然后再利用LibcSearcher查询可能的libc 这ROP,我们先构造paylo
攻防世界pwn-100(两种方法)详细分析
qy201706的博客
05-05 2362
是比较基础的构造ROP链也比较典型,本菜鸡学了受益匪浅(っ °Д °;)っ 0x1 checksec + file 0x2 拖进ida分析程序: 显然应该进sub_40068E里看看: 鸭儿,继续进sub_40063D(v1,200): 这里就是一个for循环,每次向 i + a1(即:i + v1)所指的内存读取输入1个字节,i 不能大于200 貌似无懈可击,返回去查...
攻防世界pwn100 详细的WP
Zarcs_233的博客
01-20 967
pwn萌新做pwn了 首先checksec shellcode肯定是行不通了 IDA打开看看 发现有个函数,读取200字节,但a1数组却只有40字节,出现了栈溢出漏洞,那么EIP就是在48字节之后的八个字节 查看程序导入,发现没有system,查看string,发现没有’/bin/sh’ 所以要先想办法泄露system的地址,用Dynelf即可,那么如何写泄露函数呢? 由于是64位系统,所以得...
pwn100
pppp974的博客
07-18 344
这是一道64位的,用rop来最终解决 exp如下: #coding:utf-8 from pwn import * from LibcSearcher import * io=remote('111.198.29.45',5) readn = 0x40063D start = 0x40068E read_got = 0x601028 put_plt = 0x400500 put_got = ...
pwnpwn-100
醉等佳人归
09-06 537
1.目 1.1.保护机制 没开canary和ASLR,只开了NX 1.2.关键代码 2.思路 很明显就是一个简单栈溢出漏洞,但是发现没有提供lib文件,导致我们不能直接去泄漏puts加地址然后计算偏移得到system的地址,pwn库提供了一个通过泄漏地址遍历lib库 d = DynELF(leak,elf=elf) system_addr = d.lookup('system','libc') leak参数是一个函数,函数参数为地址,地址由DynELF提供,函数功能就是通过参数地址泄漏出该地址指
攻防世界-pwn-100-Writeup
SkYe's Blog
05-15 479
pwn-100 [collapse title=“展开查看详情” status=“false”] 考点:栈溢出、ROP 这个栈溢出每次固定要求输入 200 个字符,也没有别的了。 ROP 操作也不需要往 bss 写入 /bin/sh ,直接在 libc 找一个就好了。(看到网上有这样的操作orz) #encoding:utf-8 from pwn import * context.log_level = 'debug' context(os='linux',arch='amd64') p = remot
(攻防世界)(2016 L-CTF)pwn100
PLpa的博客
07-12 2606
也是一个DynELF()的栈溢出,不过这里是运用了puts函数而不是write函数,所以我们构造的leak函数就要不同些。 拿到目,我们首先查看一下保护: 可以看到,程序只开启了NX保护。 我们进入IDA看一下程序逻辑,找一找漏洞: 我们找到了puts和read函数,看到了明显的栈溢出漏洞,一般思路就是DynELF函数的利用了: 我们找到我们需要的一些地址,然后开始构造exp: #!...
攻防世界 pwn
清霂的博客
02-02 776
目录1.get_shell2.when_did_you_born3.hello_pwn4.level05.level26.cgpwn2 1.get_shell nc连接 连接后ls | cat flag 2.when_did_you_born file checksec 有canary保护,不能栈溢出 ida64 先输入v5,v5不能等于1926。再输入v4,注意有gets函数,不限制输入,但无法溢出,点进去v4,v5 发现var_18是v5,var_20是v4,那么可以输入v4时将v5的值覆盖为19
攻防世界 pwn100&&pwn200
weixin_45677731的博客
05-18 283
pwn100 拖进ida分析,主要如下: 我的基本思路就是,利用栈溢出,通过puts函数,泄露read函数的地址,通过工具来得到相应的libc版本,返回main函数,进行第二次溢出然后进行攻击 第一次溢出: 由于程序为64位程序,而64位程序的前七个参数是放在寄存器中的,第一个参数是放在rdi寄存器中的,因此,我们要先找到相应的gadgets 我们要用的就是这个了 然后,把read的got地址传入,调用puts函数,返回main函数 第二次溢出: 得到read函数的地址后,通过相应的工具得到对应的li
xctf高手进阶pwn-100
neuisf的博客
01-25 738
重点为DynELF函数的使用。在函数 sub_40068E()中声明了一个大小为0x40的缓冲区,然后通过函数sub_40063D((__int64)&v1, 0xC8u);读取标准输入内容到该缓冲区,读入的长度为0xC8,大于缓冲区大小0x40,存在溢出漏洞。可以通过溢出后覆盖函数的返回地址:1.输出got表的函数地址;2.向可写段地址写入字符串"/bin/sh"。 ...
XCTF pwn-100
zwb2603096342的博客
05-21 749
XCTF pwn-100 典型的64位ret2libc
攻防世界pwn pwn-100
01-18
### 关于攻防世界PWN-100目的解答 #### 解决方案概述 对于攻防世界PWN-100目,通常涉及的是基础的缓冲区溢出攻击。这类目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值