pwn100 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列16

最新推荐文章于 2025-03-29 22:06:03 发布

3riC5r

最新推荐文章于 2025-03-29 22:06:03 发布

阅读量1.3k

点赞数 1

分类专栏： XCTF-PWN CTF 文章标签：攻防世界 xctf ctf pwn rop

本文链接：https://blog.youkuaiyun.com/fastergohome/article/details/103674766

版权

本文详细介绍了攻防世界XCTF-PWN区的pwn100题解，该题通过栈溢出攻击，利用NX保护下的LibcSearcher寻找system和/bin/sh地址，最终获取flag。主要知识点包括栈溢出、puts函数地址获取和libc基址计算。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

题目地址：pwn100

本题已经是高手进阶区的第五题了，难度也在不断加大。需要补充的知识点也越来越多了。

废话不说，看看题目

没什么建议和描述，那就先下载附件，看看保护机制

root@mypwn:/ctf/work/python/pwn-100# checksec d0b5f9b486bb480c9035839ec896252e 
[*] '/ctf/work/python/pwn-100/d0b5f9b486bb480c9035839ec896252e'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

只开了NX，那就可以做栈溢出。

打开ida看了一些，这个程序比较简单，直接上c语言代码，我简单的调整了一下变量命名：

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  setbuf(stdin, 0LL);
  setbuf(stdout, 0

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

3riC5r

关注关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

攻防世界 - pwn100 - WriteUp

哒君的博客

06-11

4255

pwn100 文件链接 -> Github checksec 寻找漏洞 sub_40063D 函数中获取输入存放到 v1 ，存在栈溢出漏洞攻击思路该程序中没用system函数，也没有binsh字符串，而且参数是经过寄存器传递的，所以要通过ROP来达成泄露 libc ，写入 /bin/sh 的操作寄存器 rdi 中存放的是写入的地址，rsi 是写入的字节数，所以可以通过 po...

pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19

重新启程

12-25

1770

题目地址：pwn1 babystack 已经到了高手进阶区的第八题了，已经渐入佳境了。哈哈！废话不说，看看题目先厦门邀请赛的题目，还是2星难度，那就开工了。管理检查一下保护机制： [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...

1 条评论您还未登录，请先登录后发表或查看评论

2017年湖湘杯复赛 pwn100-writeup

aptx4869_li的博客

12-22

1216

2017年湖湘杯复赛 pwn100-writeup 这是本人第一次做出来pwn的题可能有些地方显得比较笨，但尽量把自己所想的每一步都描述清楚。不足之处请批评指正。

攻防世界 pwn-100

最新发布

2401_85052854的博客

03-29

408

一开始我是用cyclic来查看泄露到ret的偏移量的，所以没仔细看c代码，发现我没有后面的payload.ljust()还一直显示让我输入字符，把我看蒙了，仔细看了伪代码才发现在for中一定要输入完200个字节才会退出循环。最后发现可以用来溢出攻击的就只有在40063d函数中，审计代码可以发现a1是通过传入参数v3而来的，所以read是往v3里面输入数据，v3覆盖到返回地址为0x48。

xctf高手进阶题之pwn-100

neuisf的博客

01-25

712

此题重点为DynELF函数的使用。在函数 sub_40068E()中声明了一个大小为0x40的缓冲区，然后通过函数sub_40063D((__int64)&v1, 0xC8u);读取标准输入内容到该缓冲区，读入的长度为0xC8，大于缓冲区大小0x40，存在溢出漏洞。可以通过溢出后覆盖函数的返回地址：1.输出got表的函数地址；2.向可写段地址写入字符串"/bin/sh"。 ...

攻防世界 Pwn pwn-100

MrTreebook的博客

12-12

684

攻防世界 Pwn pwn-1001.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址点击下载 2.checksec 64位程序，目前还什么都看不出看来，直接拉近IDA看看 3.IDA分析整个程序由3个嵌套的程序组成我们可以看到sub_40063D是主要的程序，接受单个字符并存储到传入的参数a1所指向的空间之内同时分析sub_40068E发现sub_40063D中a1就是sub_40068E中的v1 并且v1的栈空间大小就只有0x40，而sub_4006

warmup [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列14

重新启程

12-23

1938

题目地址：warmup 这是高手进阶区的第三题，我们先看下题目内容这个题目没有附件，那就是要fuzz的题目了，我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个题目的出发点就是要大家做fuzz，看下提示内容有个地址0x40060...

shell [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列25

重新启程

12-27

866

题目地址：shell 这个题目是高手进阶区的第14题，这一题我没有按照顺序来，耍脾气来！呵呵看看保护机制 [*] '/ctf/work/python/shell/shell' Arch: amd64-64-little RELRO: No RELRO Stack: Canary found NX: NX enabled ...

dice_game [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列12

重新启程

12-23

1914

题目地址：dice_game 从这篇开始就正式进入高手进阶区，一些简单的知识点我这里就不会再重复赘述了，请有需要的同学看前面的章节。废话不多，看看题目题目没什么提示，只是知道这个题目的来源是：XCTF 4th-QCTF-2018 下载附件，看看情况，照例做下保护机制检查 root@mypwn:/ctf/work/python/dice_game# checksec dice_g...

PWN篇：攻防世界PWN-100

weixin_44644249的博客

02-04

565

攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题，链接上收不到字符，在本地跑exp是可以拿到shell的。之前以为写错了，买了wp试也不行，重开环境还是不行，先记录一下，以后能连上了再提交flag。查看保护 IDA分析主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数（IDA解析这里有点问题，可以查看汇编代码分析），a2=200，a1=&v1[64] 当 i 小于200，read输入到v1，这个就是溢出点，当 i >=

攻防世界 pwn--pwn-100

YANG12345_6的博客

11-28

3492

一、checksec一下开启了NX 二、 file一下，查看文件属性 64位文件三、执行让用户不断输入四、拖进ida里分析看反汇编代码主要代码：数组v1的大小是0x40，后面利用的read函数的size是0xC8，有栈溢出漏洞五、在ida里没有找到可以利用的system("bin/sh)和system("cat flag") 六、原程序中没有调用system函数，在GOT和PLT表中没有随system函数的记录，只能从libc中寻找system函数有puts和read函数，可以利用

[攻防世界 pwn]——pwn-100

Y_peak的博客

02-21

330

[攻防世界 pwn]——pwn-100 题目地址: https://adworld.xctf.org.cn/ 题目: checksec一下 IDA中 sub_40063D函数的作用就是读入200个字符, 不然不退出循环思路 leek出来一个地址, 然后找到libc, 计算偏移找到system 和 ‘/bin/sh’ 循环调用, 得到shell from pwn import * from LibcSearcher import * #p = process("./pwn") p = remo

攻防世界-pwn-100-Writeup

SkYe's Blog

05-15

442

pwn-100 [collapse title=“展开查看详情” status=“false”] 考点：栈溢出、ROP 这个栈溢出每次固定要求输入 200 个字符，也没有别的了。 ROP 操作也不需要往 bss 写入 /bin/sh ，直接在 libc 找一个就好了。（看到网上有这样的操作orz） #encoding:utf-8 from pwn import * context.log_level = 'debug' context(os='linux',arch='amd64') p = remot

攻防世界pwn100 详细的WP

Zarcs_233的博客

01-20

922

pwn萌新做pwn题了首先checksec shellcode肯定是行不通了 IDA打开看看发现有个函数，读取200字节，但a1数组却只有40字节，出现了栈溢出漏洞，那么EIP就是在48字节之后的八个字节查看程序导入，发现没有system，查看string，发现没有’/bin/sh’ 所以要先想办法泄露system的地址，用Dynelf即可，那么如何写泄露函数呢？由于是64位系统，所以得...

攻防世界pwn-100(两种方法)详细分析

qy201706的博客

05-05

2191

这题是比较基础的构造ROP链也比较典型，本菜鸡学了受益匪浅(っ °Д °;)っ 0x1 checksec + file 0x2 拖进ida分析程序：显然应该进sub_40068E里看看：鸭儿，继续进sub_40063D(v1，200)：这里就是一个for循环，每次向 i + a1(即：i + v1)所指的内存读取输入1个字节，i 不能大于200 貌似无懈可击，返回去查...

XCTF-PWN新手区通关手册

万丈⾼楼平地起，勿在浮沙筑⾼台学艺不精的安全菜鸡，改行回家养猪了，对博客有疑问欢迎留言，看到一定回

03-06

505

XCTF-PWN新手区通关手册题目下载地址：点此下载 1.cgpwn2 import struct import socket def p32(value): return struct.pack("<I",value) tcp = socket.socket(socket.AF_INET,socket.SOCK_STREAM) tcp.connect(("111.198.29.45...

攻防世界PWN进阶区pwn100/pwn200/warmup

weixin_45461609的博客

05-12

651

攻防世界PWN进阶区pwn200pwn100 pwn200 和CTFWIKI上的ret2libc3大同小异。条件： 1.有read(),write()函数，无system。 2.在函数sub_8048484中存在栈溢出。思路： 1.通过栈溢出调用write()函数泄露write()对应的 got 表项的内容，此处将write函数的返回地址设置为main或者sub_8048484的地址以便再次利用栈溢出漏洞 2.通过LibcSearcher获取libc版本 3.获取system函数，”/bi

攻防世界pwn pwn-100

01-18

### 关于攻防世界PWN-100题目的解答 #### 解决方案概述对于攻防世界的PWN-100题目，通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程（Return-Oriented Programming, ROP）、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时，可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode，并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE)，那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置，比如system()函数，从而间接地触发所需的恶意操作而无需注入新的机器码片段。针对具体环境下的不同情况，还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作；同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```