习题--pwn3

最新推荐文章于 2025-04-21 18:54:35 发布
最新推荐文章于 2025-04-21 18:54:35 发布
阅读量1.1k 收藏
点赞数
分类专栏: CTF-PWN-刷题-XMCVE培训课 文章标签: PWN 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_49959202/article/details/120393413
版权
该博客详细介绍了pwn3挑战的解决过程,包括程序分析、栈帧设计和exploit编写。通过file、checksec和ldd等工具揭示了程序特性,指出存在vulnerable_function()函数可用于栈溢出。利用write()泄露write函数地址,进一步构造payload实现栈溢出,以获取system()函数地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

pwn3

1.程序分析

首先file一下,发现是32位程序:

checksec一下,发现pie没开:

ldd一下,找到使用的动态链接库:

ida分析,发现存在函数vulnerable_function(),可以用来栈溢出

题目给出了一个.so文件,那么只需要泄露got表内容,就可以得到system()函数的真实地址。bin_sh字符串也可以到libc里面寻找。

发现write()函数在read()函数前被调用,因此可以使用write()将write_got打印出来,从而泄露write的真实地址。然后再次调用vulnerable_function()函数,就可以再构造一次payload发送,实现栈溢出。

2.栈帧设计

3.exp编写

from pwn import *

io = process("/mnt/d/study/ctf/pwn/pwn3/level3")
elf
最低0.47元/天 解锁文章
ctfshow pwn3
qq_39980610的博客
08-19 677
所以如果我们知道 libc 中某个函数的地址,那么我们就可以确定该程序利用的 libc。此外,在得到 libc 之后,其实 libc 中也是有 /bin/sh 字符串的,所以我们可以一起获得 /bin/sh 字符串的地址。我们一般常用的方法是采用 got 表泄露,即输出某个函数对应的 got 表项的内容。然后接受到的地址就是程序在libc中的地址我们就可以确定libc的版本和libc基址。函数在libc中的偏移都是固定的我们可以通过基址加偏移拿到函数地址和binsh字段。然后我们再构造rop链。
pwn3记录
weixin_55190422的博客
11-08 141
IDA里面看一下main函数,发现有个系统函数读取flag.F5反编译一下 v2=11.28125同样也可以获取flag。所以这个题目就是修改V2。 checksec一下 0x4是存储v2的地址, 0x30是开始存储V1的地址。因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 有两个比较指令,双击进去 这个就是11.28125的十六进制值。所以exp: ...
[BugkuCTF] PWN3
BurYiA的博客
11-06 857
PWN3 历经千辛万苦终于把这道题拿下了,不容易啊/哭 特此前来记录一下 题目拿到后我们首先checksec一下 保护全开啊有莫有,但是不慌(我承认我看到的时候慌了),继续分析吧 粗略的看一下可以发现有四个输入点(红),并且还有一个返回输入值的输出点(粉) ok,上ida瞅瞅,main函数没啥好说的,我们瞅瞅vul函数 显然我们可以利用那两个read来搞一下事情,他们都是都thinking_not...
【二进制安全】PWN基础入门大全(非常详细),零基础入门到精通,看这一篇就够了
最新发布
m0_71746416的博客
04-21 294
一、什么是PWNPWN是一个黑客之间使用的词语,通常指攻破设备或系统。发音类似“砰”,对黑客而言,这象征着成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被操纵了。在网络安全语境中,PWN通常指的是通过不同的攻击手段如利用漏洞、进行社会工程学攻击等方法成功地获得了一个设备、系统或网络的未授权控制权。一旦攻击者“PWN了”一个系统,他们就可以执行各种恶意活动,如窃取数据、安装恶意软件或制造更广泛的破坏。
pwn3第三关
qq_18823653的博客
03-30 286
溢出点,保护都和上一关一样,这一关有外部函数system()和字符串/bin/sh, exp如下: from pwn import * elf=ELF('./pwn3') p=process('./pwn3') payload='a'*112+p32(elf.plt['system'])+p32(0x11111111)+p32(0x08048720) #0x111111是返回地址,0x080487...
pwn-3-warmup_csaw_20161
zhi741的博客
10-12 480
然后在kali里面写入我们构建的playlaod的值,vim 1 这里是我构建playlaod的文件 0,然后用python 1 执行脚本,这里不用输出ls查询,但是直接将flag值给栈溢出出来了 复制flag值进行下一道题吧~~~出现了下面这张图片,看着是不是很熟悉呢,这个就是我们最后站一处后到达的地址,在这里进行命令执行操作,这个时候是不是我们就可以书写一般的playlaod了呢?找到这个时候我们就需要看系统程序了,我们已经知道了目的地,我们还需要知道怎么走,我们开始看main函数。
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
习题-pwn0
m0_49959202的博客
09-18 239
文章目录pwn01.程序分析2.栈帧设计3.exp编写 pwn0 1.程序分析 首先file一下,发现是64位程序: checksec一下,发现没有pie ida分析: 存在read函数,可以栈溢出利用。 同时,发现存在callsystem()函数,可以直接获取shell: 这就和ret2text一样了。 gdb计算需要覆盖的长度为60。 但是因为本机环境是ubuntu20.04,64位程序的system("/bin/sh")需要堆栈平衡 因此加上一个ret:0x00000000004005A5
习题-pwn2
m0_49959202的博客
09-18 185
文章目录pwn21.程序分析2.栈帧设计3.exp编写 pwn2 1.程序分析 首先file一下,发现是32位程序: checksec一下,发现pie关闭: ida分析程序,发现存在system函数,因此可以到plt内找到system: 分析vulnerable_function(),可以得到需要溢出的长度为0x88 + 4 =136+4 = 140,同时存在read(),可以用来溢出 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3YpmnStC-1631942444
pwn3-绕过防御-ROP(1)
qq_73667990的博客
06-08 900
*ROP:**全程Return Oriented Programming(面向返回的编程),在栈溢出基础上,利用程序中已有的小片段(gadgets),改变寄存器或变量的值,从而控制程序执行流程,从而绕过NX防御,常见有ret2text,ret2syscall,ret2libc(最常用)…**gadgets:**以ret结尾的指令序列,通过这些序列可以修改某些地址的内容。ROP攻击满足的条件:1.存在溢出,且可以控制返回地址2.满足条件的gadgets。
2023HDCTF部分wp(pwn3,web1,crypto3,Misc1)
qq_51627915的博客
04-23 1195
HDCTF部分wp,指我a出来的
jarvis oj level pwn level3 和 level2_x64
qq_44813849的博客
07-25 317
level2_x64 x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。我们要修改寄存器的值就得通过找到例如pop rdi;ret这样的函数,将值放在栈顶。 使用ROPgadget搜索操作寄存器的函数地址: ROPgadget --binary level2_x64 --only "pop|ret" (文件名自己取的) 看一下/...
BugkuCTF-PWNpwn3-read_note超详细讲解
am_03的博客
08-30 2891
知识点 puts()的特性 , puts()会一直输出某地址的数据,直到遇到 \x00 Canary最低位为\x00(截断符) \x 和 0x 的区别: 区别不大,都是把数按16进制输出。 1、0x 表示整型数值 (十六进制) char c = 0x42; 表示的是一个数值(字母B的ASCII码66),可以认为等价于: int c = 0x42; 2、\x42用于字符表达,或者字符串表达 char c = ‘\x42’; 亦等价于: char c = 0x42; char* s = “\x41\x42
攻防世界pwn新手区题解-level3
weixin_62621015的博客
04-17 1466
攻防世界pwn-level3详细题解。
PWN基础知识及基础栈溢出手法
山高路远
04-12 4273
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
看雪pwn入门--基础篇
泣当歌的计算机小白之路
03-28 2783
1.pwn理论基础  小菜: 什么是溢出 概念:在计算机中,当要表示的数据超出计算机使用的数据表示范围时,产生数据的溢出 原因:使用非类型安全的语言入C/C++等            以不可靠的方式存取或者复制内存缓冲区            编译器设置内存缓冲区太靠近关键数据结
CTF PWN基础知识(寄存器、栈、汇编指令、标志位)详解
weixin_43780092的博客
09-04 7096
本文详解PWN中基础知识,文中寄存器缩写都有标注上中文含义,方便初学者理解记忆。
buuctf-pwn入门
01-26
为了更好地练习技能并应用所学知识,在线实践环境不可或缺。BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断做题积累经验,可以逐步提高...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值