【pwnable.kr】刷题笔记

最新推荐文章于 2024-08-20 22:47:57 发布

原创最新推荐文章于 2024-08-20 22:47:57 发布 · 819 阅读

0 ·

CC 4.0 BY-SA版权

每日学习笔记专栏收录该内容

14 篇文章

订阅专栏

本文解析了Pwnable.kr平台上的三个挑战题：fd、collision及bof。通过ssh连接进行fd题目尝试，利用Python解决collision的碰撞问题，并详细分析了bof题目中的缓冲区溢出漏洞。

最近学习了一圈i春秋的相关知识之后，感觉还是需要刷题。pwnable.kr还没有刷完，所以抽时间出来有功夫就刷刷题。

第一题 fd

首先ssh连接，查看程序。

可以发现程序比较简单，其中fd是可以指定的，当fd值为0时为输入。

第二题.collision

查看完代码发现是需要第二个参数输入的值经过计算==给的值。

可以看到将char类型强制转换为int类型。而int类型一个占四个字节。所以就变成了20个字符长度，分为五段求和。

用pyhon随便减一下：

然后输入既可：

第三题 bof

简单溢出，扔ida里查询

发现基地址有44字节再加上4个字节的ebp 4个字节的返回地址也就是52个字节后面覆盖成cafebabe既可。

exp：

然后查看flag既可

但是这里我有一个疑问，为什么开了cannary但是却可以直接溢出成功呢？

再具体分析下：

第一个黄色的行表明

overflowme到ebp为2c 到cafebabe 又加8个字节。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

isbear3

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

pwnable.kr做题笔记（一）

has_zaoganmaqule的博客

08-12

2128

调用 `printf` 函数，`bl` 指令用于分支并链接，保存返回地址到链接寄存器 `lr`。- 将 `r4`, `r11`, 和 `lr` 寄存器的值压入栈中，用于保存函数调用前的状态。- 将 `r3` 的值（0）存储到 `r11` 指向的位置的偏移量 -16 处。- 如果 `r2` 和 `r3` 不相等，跳转到 `0x8da8` 地址处。- 调用 `scanf` 函数，`r0` 和 `r1` 作为参数传递。- 从 `r11` 指向的位置的偏移量 -16 处加载值到 `r3`。

【pwnable.kr】0x05-passcode Writeup

weixin_64667536的博客

08-30

575

Ubuntu-SSH连接根据目录信息拉取文件。

参与评论您还未登录，请先登录后发表或查看评论

Pwnable.kr

aoque9909的博客

04-16

270

Dragon —— 堆之 uaf 开始堆的学习之旅。　　uaf漏洞利用到了堆的管理中fastbin的特性，关于堆的各种分配方式参见堆之*bin理解　　在SecretLevel函数中，发现了隐藏的system("/bin/sh")调用，虽然无法直接执行，但无疑会是后续进展中的有力武器。　　在和恐龙战斗的函数结束部分，发现了free掉但没有置空的free(dragon)语句，而...

Pwnable

03-26

Pwnable

【pwnable.kr-----解题过程】collision

lyuchen65的博客

09-16

2629

#include #include unsigned long hashcode = 0x21DD09EC; unsigned long check_password(const char* p){ int* ip = (int*)p; int i; int res=0; for(i=0; i<5; i++){ res += ip[i]; } return res; } in

【pwnable.kr】fb

weixin_30785593的博客

06-29

232

这是pwnable.kr的签到题，记录pwn入门到放弃的第一篇。 ssh fd@pwnable.kr -p2222 (pw:guest) 题目很简单，登录上了ssh后，发现了3个文件：fd，fd.c，flag 首先下载fd.c 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <str...

【pwnable.kr】0x02-collision Writeup

weixin_64667536的博客

08-20

519

拉取文件分析源码阅读源码后，执行样例测试输入2个参数1个参数，程序输出如下。

【pwnable.kr】0x01-fd Writeup

weixin_64667536的博客

08-20

361

Ubuntu连接靶机（连不通的可以试一下proxychains）scp命令拷贝下fd源码文件。

pwnable.kr题解之uaf

Yale的博客

06-19

765

前言：这道题目反应了uaf的基本原理，pwn入门必做的题目，如果这一块了解的不够透彻，直接去打现在涉及各种奇技淫巧的pwn，肯定会被绕晕掉。所以为了照顾萌新（其实是我自己菜）把这道题目单独拿出来写一下。这是一道uaf的题目，把二进制文件拉到本地来研究在分析前，先简单说一下c++的虚函数和uaf的前置知识在c++中，如果类中有虚函数，那么这个类就会有一个虚函数表的指针vfptr，而子类会继承。 uaf的原理：在释放内存后未将指向原内存的指针置为null，use after free的意思就是在释

【pwnable.kr】cmd1

weixin_30413739的博客

07-10

175

最近的pwnable都是linux操作系统层面的。 ssh cmd1@pwnable.kr -p2222 (pw:guest) 首先还是下载源代码： #include <stdio.h> #include <string.h> int filter(char* cmd){ int r=0; r += strstr(cmd, "...

pwnable.kr 简单题目详细笔记汇总

H4ppyD0g的博客

09-12

1394

pwnable.kr fd pwnable.kr collision pwnable.kr bof pwnable.kr flag pwnable.kr passcode pwnable.kr random pwnable.kr input pwnable.kr leg pwnable.kr mistake pwnable.kr shellshock pwnable.kr coin1 pwnable.kr lotto pwnable.kr cmd1 pwnable.kr cmd2 pwnable.kr u

Pwn菜鸡刷题记录从入门到入土（持续更新ing）

麦芽雪冷萃

10-15

2482

GitHub抢先更新：GitHub - Don2025/CTFwriteUp: The growth record of CTF rookie.The growth record of CTF rookie. Contribute to Don2025/CTFwriteUp development by creating an account on GitHub.https://github.com/Don2025/CTFwriteUp CTFHub ret2text 先file ./ret2text

pwnable.kr pwn题题解

qq_41071646的博客

04-10

849

没错我又来了开了新坑。。。。。虽然说不搞pwn了但是搞了。。。 gogogo 第一题挺简单的题。。。。然后我们看一下目录都有什么如果能够读到 flag 那就是另外一个故事了。。行吧代码审计吧。。。。 read 第一个参数 0的话是输入 2是输出那么让fd=0 然后让buf 等于那个值就行很简单的...

pwnable.kr unexploitable题解

落日领航员の技术栈

04-25

973

前言这次的大作业可以算是《漏洞分析》这门课有史以来难度最大的一次了。刚接触这道题的时候基本上没思路，加上心思浮躁，在网上疯狂找wp，看了十几篇依旧没看出个门道。于是决定静下心来，先仔细研读了几篇SROP相关的文章，了解基本原理，再一点一点地动手尝试。当然这个历程也是比较艰辛的，一次又一次把自己绕晕，失败，曾经很多次想过干脆换一道题算了，好在最后没有放弃，做出来了，收获满满。代码分析 #include <stdio.h> void main(){ // no brute for

pwnable.kr --- cmd1题解

Yannie's Blog

12-20

354

拿到程序我们打开源代码如下： #include <stdio.h> #include <string.h> int filter(char* cmd){ int r=0; r += strstr(cmd, "flag")!=0; r += strstr(cmd, "sh")!=0; r += strstr(cmd, "tmp")!=0; return r; } ...

pwnable.kr解题write up —— Toddler's Bottle（二）

逆水行舟

01-21

4692

网站地址：pwnable.kr 提供许多优质的ctf训练题，题目设计的都非常巧妙，适合思考。

pwnable.kr collision

无节操

12-25

2937

题目：题目链接：http://pwnable.kr/play.php ——>连接登录查看源码如下：#include <stdio.h> #include <string.h> unsigned long hashcode = 0x21DD09EC; unsigned long check_password(const char* p){ int* ip = (int*)p;

pwnable.kr之bof

river

05-01

4511

bof 两种方法来做吧(就是入门为了练习，多接触一些。。。) 方法1：用ida直接看算一下输入的字符串s是ebp-2c 参数1 a1是ebp+8 距离是52，所以要覆盖52个字符。但是这么简单的程序，抓住机会，小白练习一下gdb 方法2：用GDB调试，算参数地址 gdb bof

pwnable.kr [input]

shisuan1的博客

12-02

324

pwnable.kr [input] Mom? how can I pass my input to a computer program? ssh input2@pwnable.kr -p2222 (pw:guest) input.c 的代码 #include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; #include &lt;string.h&gt

pwnable.kr bof

最新发布

09-16

### pwnable.kr bof题目概述 pwnable.kr 是一个著名的在线渗透测试练习平台，bof（Buffer Overflow，缓冲区溢出）题目是其中经典类型。缓冲区溢出通常是由于程序没有正确检查用户输入的长度，导致输入的数据超出了缓冲区的边界，从而覆盖相邻的内存区域，可能改变程序的执行流程。 ### 解题思路与步骤 #### 1. 环境准备首先需要在本地搭建好调试环境，安装必要的工具，如`gdb`（GNU调试器）、`pwntools`（Python 库，用于编写漏洞利用脚本）等。例如，使用`pwntools`可以方便地与远程服务器进行交互。 ```python from pwn import * # 连接到远程服务器 p = remote('pwnable.kr', 9000) ``` #### 2. 分析程序 - **反汇编**：使用`objdump`或`gdb`对目标程序进行反汇编，查看程序的汇编代码，了解程序的逻辑和函数调用关系。例如，使用`objdump -d bof`可以得到程序的反汇编代码。 - **检查漏洞点**：重点关注程序中存在缓冲区操作的函数，如`gets`、`strcpy`等，这些函数通常不检查输入的长度，容易引发缓冲区溢出漏洞。 #### 3. 确定缓冲区大小通过调试程序，向程序输入不同长度的数据，观察程序的行为，确定缓冲区的大小。可以使用`gdb`设置断点，在关键位置查看栈的状态。 ```python # 构造不同长度的测试数据 test_data = 'A' * 10 p.sendline(test_data) ``` #### 4. 覆盖返回地址当确定了缓冲区大小后，构造恶意输入，覆盖程序的返回地址。返回地址是函数调用结束后程序要跳转执行的地址，通过覆盖它可以改变程序的执行流程。 ```python # 计算返回地址的偏移量 offset = 44 # 假设偏移量为 44 # 构造恶意输入 payload = 'A' * offset # 获取目标地址（如系统函数地址） target_address = p64(0xdeadbeef) payload += target_address p.sendline(payload) ``` #### 5. 利用漏洞执行任意代码 - **调用系统函数**：如果程序中存在可利用的系统函数（如`system`），可以通过覆盖返回地址，将程序的执行流程引导到这些函数上，并传入合适的参数（如`/bin/sh`），从而获得一个 shell。 - **ROP 链**：如果程序中没有合适的系统函数可以直接调用，可以使用 ROP（Return Oriented Programming，面向返回编程）技术，通过拼接多个小的代码片段（gadget）来实现复杂的功能。 ```python # 构造 ROP 链 rop = ROP(elf) # 查找合适的 gadget pop_rdi = rop.find_gadget(['pop rdi', 'ret'])[0] bin_sh = next(elf.search(b'/bin/sh')) system_addr = elf.symbols['system'] # 构造 ROP 链 rop.raw(pop_rdi) rop.raw(bin_sh) rop.raw(system_addr) # 构造最终的 payload payload = 'A' * offset + str(rop) p.sendline(payload) ``` ### 技术分析 #### 缓冲区溢出原理缓冲区溢出是由于程序对输入数据的长度没有进行有效的检查，导致输入的数据超出了缓冲区的边界，覆盖了相邻的内存区域。在栈上，函数调用时会保存返回地址等信息，当缓冲区溢出发生时，返回地址可能被覆盖，从而改变程序的执行流程。 #### 栈布局与内存管理了解栈的布局对于利用缓冲区溢出漏洞至关重要。栈是一种后进先出的数据结构，函数调用时会在栈上分配空间，保存局部变量、参数和返回地址等信息。通过调试和分析栈的状态，可以确定缓冲区的位置和返回地址的偏移量。 #### 保护机制绕过现代操作系统和编译器通常会采用一些保护机制，如 ASLR（地址空间布局随机化）、Canary（栈保护）等，来防止缓冲区溢出漏洞的利用。在解题过程中，需要了解这些保护机制，并寻找相应的绕过方法。例如，对于 ASLR，可以通过泄露程序的基地址来绕过；对于 Canary，可以通过泄露 Canary 的值来绕过。 ### 总结解决 pwnable.kr 的 bof 题目需要掌握缓冲区溢出的基本原理、调试技巧和漏洞利用技术。通过不断地练习和实践，可以提高对漏洞的分析和利用能力。