pwn100 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列16

最新推荐文章于 2023-03-20 18:13:05 发布
原创 最新推荐文章于 2023-03-20 18:13:05 发布 · 1.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#攻防世界 #xctf #ctf #pwn #rop

本文详细介绍了攻防世界XCTF-PWN区的pwn100题解,该题通过栈溢出攻击,利用NX保护下的LibcSearcher寻找system和/bin/sh地址,最终获取flag。主要知识点包括栈溢出、puts函数地址获取和libc基址计算。

题目地址:pwn100

本题已经是高手进阶区的第五题了,难度也在不断加大。需要补充的知识点也越来越多了。

废话不说,看看题目

没什么建议和描述,那就先下载附件,看看保护机制

root@mypwn:/ctf/work/python/pwn-100# checksec d0b5f9b486bb480c9035839ec896252e 
[*] '/ctf/work/python/pwn-100/d0b5f9b486bb480c9035839ec896252e'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

只开了NX,那就可以做栈溢出。

打开ida看了一些,这个程序比较简单,直接上c语言代码,我简单的调整了一下变量命名:

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  setbuf(stdin, 0LL);
  setbuf(stdout, 0LL);
  go_game();
  return 0LL;
}

int go_game()
{
  char szInputString; // [rsp+0h] [rbp-40h]

  read_s
最低0.47元/天 解锁文章
攻防世界 - pwn100 - WriteUp
哒君的博客
06-11 4301
pwn100 文件链接 -> Github checksec 寻找漏洞 sub_40063D 函数中获取输入存放到 v1 ,存在栈溢出漏洞 攻击思路 该程序中没用system函数,也没有binsh字符串,而且参数是经过寄存器传递的,所以要通过ROP来达成泄露 libc ,写入 /bin/sh 的操作 寄存器 rdi 中存放的是写入的地址,rsi 是写入的字节数,所以可以通过 po...
攻防世界 Pwn pwn-100
MrTreebook的博客
12-12 728
攻防世界 Pwn pwn-1001.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 64位程序,目前还什么都看不出看来,直接拉近IDA看看 3.IDA分析 整个程序由3个嵌套的程序组成 我们可以看到sub_40063D是主要的程序,接受单个字符并存储到传入的参数a1所指向的空间之内 同时分析sub_40068E发现sub_40063D中a1就是sub_40068E中的v1 并且v1的栈空间大小就只有0x40,而sub_4006
攻防世界 pwn-100
weixin_56777139的博客
03-20 482
此处有一处值得一提,发送payload时注意sendline和send,sendline会自动在200个字符后加’\n’,缓冲内则为200个字符加’\n’的形式,当复制200个字符串后返回主函数地址,缓冲内还有’\n’,而主函数没有刷新缓冲,所以返回主函数后进入下一轮的复制函数会将缓冲头部的’\n’复制到内存中。构造新的payload,注意上述说的sendline和send对于此处的影响,若之前处用的sendline,那此处b’a’数量为0x48-1=0x47即可。此时即可接收泄露的内容。
2017年湖湘杯复赛 pwn100-writeup
aptx4869_li的博客
12-22 1245
2017年湖湘杯复赛 pwn100-writeup 这是本人第一次做出来pwn的题可能有些地方显得比较笨,但尽量把自己所想的每一步都描述清楚。不足之处请批评指正。
xctf高手进阶题之pwn-100
neuisf的博客
01-25 729
此题重点为DynELF函数的使用。在函数 sub_40068E()中声明了一个大小为0x40的缓冲,然后通过函数sub_40063D((__int64)&v1, 0xC8u);读取标准输入内容到该缓冲,读入的长度为0xC8,大于缓冲大小0x40,存在溢出漏洞。可以通过溢出后覆盖函数的返回地址:1.输出got表的函数地址;2.向可写段地址写入字符串"/bin/sh"。 ...
pwn1 babystack [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列19
重新启程
12-25 1936
题目地址:pwn1 babystack 已经到了高手进阶的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
warmup [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列14
重新启程
12-23 2014
题目地址:warmup 这是高手进阶的第三题,我们先看下题目内容 这个题目没有附件,那就是要fuzz的题目了,我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个题目的出发点就是要大家做fuzz,看下提示内容有个地址0x40060...
shell [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列25
重新启程
12-27 911
题目地址:shell 这个题目是高手进阶的第14题,这一题我没有按照顺序来,耍脾气来!呵呵 看看保护机制 [*] '/ctf/work/python/shell/shell' Arch: amd64-64-little RELRO: No RELRO Stack: Canary found NX: NX enabled ...
dice_game [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列12
重新启程
12-23 1988
题目地址:dice_game 从这篇开始就正式进入高手进阶,一些简单的知识点我这里就不会再重复赘述了,请有需要的同学看前面的章节。 废话不多,看看题目 题目没什么提示,只是知道这个题目的来源是:XCTF 4th-QCTF-2018 下载附件,看看情况,照例做下保护机制检查 root@mypwn:/ctf/work/python/dice_game# checksec dice_g...
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 622
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
攻防世界 pwn--pwn-100
YANG12345_6的博客
11-28 3557
一、checksec一下 开启了NX 二、 file一下,查看文件属性 64位文件 三、执行 让用户不断输入 四、拖进ida里分析看反汇编代码 主要代码: 数组v1的大小是0x40,后面利用的read函数的size是0xC8,有栈溢出漏洞 五、在ida里没有找到可以利用的system("bin/sh)和system("cat flag") 六、原程序中没有调用system函数,在GOT和PLT表中没有随system函数的记录,只能从libc中寻找system函数 有puts和read函数,可以利用
[攻防世界 pwn]——pwn-100
Y_peak的博客
02-21 388
[攻防世界 pwn]——pwn-100 题目地址: https://adworld.xctf.org.cn/ 题目: checksec一下 IDA中 sub_40063D函数的作用就是读入200个字符, 不然不退出循环 思路 leek出来一个地址, 然后找到libc, 计算偏移找到system 和 ‘/bin/sh’ 循环调用, 得到shell from pwn import * from LibcSearcher import * #p = process("./pwn") p = remo
攻防世界-pwn-100-Writeup
SkYe's Blog
05-15 473
pwn-100 [collapse title=“展开查看详情” status=“false”] 考点:栈溢出、ROP 这个栈溢出每次固定要求输入 200 个字符,也没有别的了。 ROP 操作也不需要往 bss 写入 /bin/sh ,直接在 libc 找一个就好了。(看到网上有这样的操作orz) #encoding:utf-8 from pwn import * context.log_level = 'debug' context(os='linux',arch='amd64') p = remot
攻防世界pwn100 详细的WP
Zarcs_233的博客
01-20 955
pwn萌新做pwn题了 首先checksec shellcode肯定是行不通了 IDA打开看看 发现有个函数,读取200字节,但a1数组却只有40字节,出现了栈溢出漏洞,那么EIP就是在48字节之后的八个字节 查看程序导入,发现没有system,查看string,发现没有’/bin/sh’ 所以要先想办法泄露system的地址,用Dynelf即可,那么如何写泄露函数呢? 由于是64位系统,所以得...
攻防世界pwn-100(两种方法)详细分析
qy201706的博客
05-05 2329
这题是比较基础的构造ROP链也比较典型,本菜鸡学了受益匪浅(っ °Д °;)っ 0x1 checksec + file 0x2 拖进ida分析程序: 显然应该进sub_40068E里看看: 鸭儿,继续进sub_40063D(v1,200): 这里就是一个for循环,每次向 i + a1(即:i + v1)所指的内存读取输入1个字节,i 不能大于200 貌似无懈可击,返回去查...
XCTF-PWN新手通关手册
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-06 529
XCTF-PWN新手通关手册 题目下载地址:点此下载 1.cgpwn2 import struct import socket def p32(value): return struct.pack("<I",value) tcp = socket.socket(socket.AF_INET,socket.SOCK_STREAM) tcp.connect(("111.198.29.45...
攻防世界PWN进阶pwn100/pwn200/warmup
weixin_45461609的博客
05-12 700
攻防世界PWN进阶pwn200pwn100 pwn200 和CTFWIKI上的ret2libc3大同小异。 条件: 1.有read(),write()函数,无system。 2.在函数sub_8048484中存在栈溢出。 思路: 1.通过栈溢出调用write()函数泄露write()对应的 got 表项的内容,此处将write函数的返回地址设置为main或者sub_8048484的地址以便再次利用栈溢出漏洞 2.通过LibcSearcher获取libc版本 3.获取system函数,”/bi
xctf pwn1
qq_41071646的博客
05-14 1058
这个题目我不知道为什么在网址上面没有打通 我只能在本机上玩了 本机的库是 2.23 所以我也按照 2.23来打了 然后这个题 可以用system 也可以用 one_gadget 用的是 one_gadget 然后说一下这个题 看起来 就是一个简单的 x64的栈溢出 然后我们看一下保护 这里面 有一个 canary 需要绕过的 其实看ida 也能看出来 v6就是我...
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界PWN-100题目,通常涉及的是基础的缓冲溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值