【攻防世界pwn-cgpwn2】

最新推荐文章于 2023-10-31 16:35:53 发布
原创 最新推荐文章于 2023-10-31 16:35:53 发布 · 1.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #CTF

本文介绍了CTF挑战攻防世界中的pwn-cgpwn2问题,通过ida分析源码,揭示了一个栈溢出漏洞。利用fgets和gets函数的组合,找到了溢出点,并设计了栈结构来覆盖ebp,进一步通过system函数执行/bin/sh,实现漏洞利用。攻击过程包括填充特定长度的数据和手动构造输入来触发系统命令执行。

下载文件后,首先检查保护:

随后将文件拖入ida,查看源码,在hello函数中,发现了如下代码

首先用安全的fgets输入了一个变量,接着用不安全的gets接收了一个变量,在此处可以确认是栈溢出,且溢出点就在此处。

开始寻找利用方式,s到ebp的距离是0x26,所以需要填充0x26的垃圾数据到ebp,接着再填充0x4的垃圾数据(覆盖ebp)。

 

发现了system函数

还缺一个"/bin/sh"字符串,找遍了代码,没有发现,但是由于此前可以有一个自己的输入,保存在name变量上,即可以自己手动输入"/bin/sh",自此,设计栈结构为:

最低0.47元/天 解锁文章
攻防世界-cgpwn2
qq_45771413的博客
04-23 342
查看保护 无栈保护,无PIE保护 IDA 两次输入,一个输入名字(限制了输入长度),一个输入信息(gets可以作栈溢出) 解题思路 shift+f12查找字符串并没有发现/bin/sh,可能需要自己整,或者藏在某个变量里 在找_system函数的过程中,发现了pwn命名的函数,进入发现有system调用,第一次做的时候看到system就乐了,直接溢出s,然后跳转到pwn地址,结果真就只有 hehehe …… 估计这是出题人的恶趣味…… 后来我在函数列表里找到了真正的_system,括号内的comma
攻防世界 cgpwn2
weixin_73399382的博客
07-12 1236
看到这fgets读取我们的输入到name中,因为程序没留shell,我们可以直接传入/bin/sh这个系统的默认shell,又因为下面使用gets从s中读取,我们可以使用让s溢出返回我们在name里面传入的默认/bin/sh。下面这个是利用plt查找system在got表中的地址,以后程序开启地址随机化的话函数的地址是变化的,就需要这么来找。s的内存空间+0处start到s需0x26字符,r是偏移指针到start处需0x4字符。system函数的地址我们刚才已经找到了,可以直接写脚本了。
[攻防世界]cgpwn2
逆向萌新的博客
06-11 496
[攻防世界]cgpw2n
攻防世界 when_did_you_born
09-28 320
1.题目 2.IDA反汇编C程序 3.程序流程分析 首先输入Birth,如果Birth==1926直接退出;否则,输入Name,这时,判断Birth是否==1926.等于则get flag。 很明显,输入名字就是专门为我们提供溢出点的。两个变量的位置如下图: 0x20 - 0x18 = 0x8 也就是说name和birth之间间距8个单元。exp如下 from pwn import * #io = process('./when_did_you_born') io = remo
攻防世界pwn——cgpwn2
qq_62076255的博客
11-05 493
攻防世界pwn——cgpwn2
攻防世界-wp-PWN-新手区-6-cgpwn2
Scorpio_m7
02-26 1684
题目来源 CGCTF 题目描述 菜鸡认为自己需要一个字符串 题目场景 220.249.52.134:49499 题目附件 53c24fc5522e4a8ea2d9ad0577196b2f 题目思路: 题目给了pwn的函数是利用系统调用打印"hehehe",存在一个call system在0x0804855A,由于hello函数中的gets函数获取的字符串s没有输入字符数量的限制,直接栈溢出,将返回地址覆盖为call system,由于name在bss段中,地址固定不变,程序中调用了system函数,但是没有
攻防世界pwn cgpwn2
最新发布
03-08
### 攻防世界 PWN CGPWN2 挑战解题思路 #### 题目分析 CGPWN2 是一个典型的缓冲区溢出漏洞利用题目。通过 `checksec` 工具检测得知该程序是一个32位的小端序可执行文件,启用了部分安全机制如 RELRO 和 NX,但未...
攻防世界 Pwn cgpwn2
MrTreebook的博客
12-12 707
攻防世界 Pwn cgpwn21.题目下载地址2.checksec分析3.IDA分析3.1.看一下溢出大小4.exp4.1.运行结果 1.题目下载地址 点击下载 2.checksec分析 只开启了NX保护,应该不会有太多障碍 直接进IDA看一下 3.IDA分析 main函数中有一个hello函数,我们直接看hello函数 可以看到第二个gets函数没有限制输入大小,很明显是栈溢出 再看看有没有其他后门函数 看到有一个pwn函数中调用了system 而且第一个gets函数输入的name正好是处于bs
攻防世界pwn[cgpwn2]
SUOYE_GUANXING的博客
10-31 221
将 "/bin/sh" 写入name, 用gets函数进行栈溢出, system为返回值, name为system的参数。flag为:cyberpeace{b232df4322e677518de6a61097130634}下载文件,先check一下;这里需要0x26+0x4才能到我们的返回地址;发现system,但没有/bin/sh;跟进name发现它是一个静态地址;学的还是有点迷,但慢慢来嘛~32位的ida打开;进入hello函数;
攻防世界cgpwn2
zyh18851473527的博客
08-05 973
首先checksec,之后放入IDA中 点进hello 发现gets()函数可能会存在栈溢出,然后我们点进name 发现 name 地址是固定的,那我们可以它写入 bin/sh ,接着看能不能找到system 找到啦!所以这个题目的思路是:通过栈溢出漏洞,调用system函数,同时在name中写入"/bin/sh",把参数地址设置为name的首地址,就可以getshell了! gets() ...
攻防世界_pwn_cgpwn2(萌新版)
TedLau的博客
02-24 435
首发于鄙人博客:传送门 0x00 前言 省略file checksec,此两步大家都能够实现。 0x10 步骤 0x10 hello函数 为32位文件,用32位ida打开后,可以发现如下hello函数 在hello函数中我们可以发现,他让我们输入两块内容,一个是name,一个是some message。 0x11 _system函数 而在左侧的函数栏中,我们可...
攻防世界 - pwn - cgpwn2
qq726232111的博客
03-16 310
A、流程分析 1、将输入的用户名存储到全局变量 2、通过gets()获取留言信息 B、利用分析 1、gets( ebp-26h ) -> 26h(填充数据) + 4(ebp) + 4(返回地址) -> payload构造 2、可利用函数 在pwn函数有system函数,可通过该地址调用系统命令 3、用户名使用的全局变...
攻防世界pwn新手练习(cgpwn2
BurYiA的博客
03-26 611
题目链接 分析 我们来看这道题,首先checksec并运行一下 可以看到是32位程序,有两个输入点,保护只有 NX。 接下来我们在ida中看看分析。在hello函数的最后我们可以看到这些东西 这就是程序给我们的两个输入点,可以看到第二个是 gets ,那就很方便了,直接溢出利用就行,翻看其他函数我们可以发现有一个system函数 很遗憾的是只有system函数而没有我们需要的shellco...
pwn学习笔记2cgpwn2攻防世界新手pwn题)
weixin_45927195的博客
03-14 617
改变system函数的参数 先运行,发现可以输入两次。再查看防御机制,开启了NX保护,即堆栈不可执行。 用ida查看主函数,发现只有一个hello()函数。查看其内容,直接找到运行时看到的"please tell me your name"。第一次输入规定了长度,第二次没有规定,存在漏洞: 找到一个后门函数pwn(),存在 call _system语句,但是这个函数的参数"echo heheh...
攻防世界PWN-cgpwn2
Deeeelete的博客
11-14 538
题目:cgpwn2 拖进PE查看一下 32位程序 checksec查看 简单执行一下 开32位IDA f5反编译main函数 main函数中直接就是输出了,输入的内容好像藏在了hello方法里 双击进去查看 单独拿出源码 char *hello() { char *v0; // eax@1 signed int v1; // ebx@1 unsigned int v2; // ecx@3 char *v3; // eax@5 char s; // [sp+12
攻防世界: cgpwn2
qq_41071646的博客
01-02 4455
这个题 也是新手入手的题 比较简单   怎么说呢 就是一个简单的构造罢了 点进hello  然后发现  然后我们点进name   发现 name 地址是固定的 我们可以将这个写入 bin/sh 就可以了 然后看 system列表    这里可以看的出来  是有42个 字符  就可以 返回我们gets 的返回地址  然后  我们 只需要 讲system 搞进去 然后输入...
攻防世界-pwn新手区-cgpwn2
CHAWUCIREN1的博客
08-11 318
先运行一下 老规矩,checksec 和file pie和canary关了 ida 查看一下 hello函数 name在bss段 有没有发现bin/sh 所以我们可以自己写一个shellcode name_bin_sh = 0804A080 看一下s的栈空间 00000027 db ? ; undefined -00000026 s dw ? -00000024 db ? ; undefined -0000002
2019.7.17 功放世界 cgpwn2
DSR446的博客
07-17 393
以下是该题的脚本: # -*- coding:utf-8 -*- from pwn import * elf=ELF('./cgpwn2') p = remote('111.198.29.45',47681) addr=0x804A080 #点击name,获得name的地址。 p.recvline() p.sendline('/bin...
攻防世界pwn pwn-100
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值