XCTF-pwn-stack2 - Writeup

最新推荐文章于 2023-02-01 17:20:31 发布
原创 最新推荐文章于 2023-02-01 17:20:31 发布 · 666 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

偶尔在学习的阶段慢慢发现的进步 抽空写点笔记记录一下子

这次做的题目还是栈溢出漏洞的题目但是并没用用到payload,简单用了下ROP

题目描述

除了一个名称 stack2 题目描述是:暂无

下载附件运行一下看看流程
在这里插入图片描述
保护开启了nx 和canary
流程大概是提供了4个选项的功能:加数、改数还有求平均数啥的。
然后丢到iad里看一下这部分的流程简单分析一下漏洞点。
在这里插入图片描述
在这里看还是蛮正常的,继续向下看功能模块:
在这里插入图片描述
在这里可以看到三号选项的功能模块对输入的数值没有做任何限制
没有检查输入数组的边界就意味着可以任意输入
因此在这里造成栈溢出而劫持eip
然后就大概有接下来的思路了:寻找或者构造system("/bin/sh")来控制程序流程获取shell。
在这里插入图片描述
system在plt表中的地址为0x8048450
在这里插入图片描述
程序中没有/bin/sh 但是找到了这个个东东 但是/bin/bash 中的bash是不能调用bash命令的,所以在这里构造system(sh)一样能完成调用
sh所在的地址位0x8048980 + 7 (空过前面的/bin/ba 读取sh)
计算漏洞点在栈中的偏移,从返回地址retn到输入的地方偏移为0x84

exp:

在这里插入图片描述
跑一下成功得到shell
在这里插入图片描述

XCTF-pwn-pwn100 writeup
Morphy_Amo的博客
12-13 1628
XCTF-pwn-pwn100
XCTF PWN level2
prettyX的博客
06-10 327
查看基本信息 尝试运行 IDA F5 继续查看脆弱函数,88h的缓冲区可以写入0x100,发现溢出点 shift+F12,发现了“/bin/sh”
xctf pwn高手进阶题之stack2
neuisf的博客
01-25 380
程序读取一个数字n,然后根据数字n读取数字到缓冲区,在执行需修改操作时为判断是否越界,而是根据用户输入的数字进行修改,造成堆栈地址内容修改。只需修改返回值即可。此题提供了hackhere函数输出flag,本地执行正常,远程出错,提示找不到/bin/bash。此处,技巧是执行system(’sh’)代替system(’/bin/sh’)。 exp: from pwn import * p=remot...
stack2(xctf)
weixin_43868725的博客
05-26 785
0x0 程序保护和流程 保护: 流程: 当选择change number时没有对数组边界进行检查所以可以任意地址写。又在函数列表中发现一个hackhere() 0x1 利用过程 我们只需要通过数组写入这个函数的地址到main函数的返回地址处即可。简单计算一下。 v13这个数组首地址距离返回地址0x70+0x4,发现不行。然后用ida远程调试一下。输入了五个数字分别是1,2,3,4,5。offset=0xFFBDC56C-0xFFBDC4E8=0x84。 远程发现没有bash。 换成system(
XCTF pwn stack2
weixin_44164182的博客
05-03 191
此处看v13数组的起始地址为esp-70,本程序带有canary保护,32位,则返回地址的起始地址应推算为&v13+70+4,但在该函数的返回地址前有特殊指令 此处更改了栈指针,使上述推算错误。为确定该返回地址相对于v13数组地址的偏移,应在执行retn前下断点动态调试,根据当时esp中指令确定 tip: 推算函数返回地址时应在汇编语言层面确定,执行ret前是否手动修改了esp的值 最准确的得到返回地址的方法是通过在ret前下断点动态调试,当前esp中的值为返回地址的地址 ...
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1936
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
string [XCTF-PWN]CTF writeup系列7(超详细分析)
重新启程
12-20 4280
题目地址:string 先看看题目情况 照例检查一下保护机制 root@mypwn:/ctf/work/python# checksec 167e00a26ef44e1f888b3ede29d88e38 [*] '/ctf/work/python/167e00a26ef44e1f888b3ede29d88e38' Arch: amd64-64-little RE...
get-shell [XCTF-PWN]CTF writeup系列1
重新启程
12-19 2057
因为做vulhub靶场Serial2,在最后一步用到了rop技术,所以就顺便把自己学习pwn的过程做下记录。 今天做的ctf题目是pwn新手训练场的第一题get-shell。 首先我们点击获取在线场景 然后我们就可以看到,这个题目给我们提供了一个服务器端口,我们可以通过telnet连接这个端口 我们可以看到 这个端口是可以直接连接的,这道题目,因为没有回显文件,所以就看不到什么...
stack2 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列15
重新启程
12-23 1562
题目地址:stack2 这是高手进阶区的第四题了,速度挺快啊,朋友!加油! 废话不说,看看题目先 没有什么特别的内容,那就看看保护机制 root@mypwn:/ctf/work/python/stack2# checksec fcca8ceb507544d1bd9c4a7925907a1d [*] '/ctf/work/python/stack2/fcca8ceb507544d1b...
[XCTF]stack2(你的疑问可以在这里找到答案)
qq_62539372的博客
07-10 360
前面的必要流程就不多说啦 这道题开了栈溢出保护 运行一下似乎找不到可以利用的点 那就看看这里吧 v13这个数组 在第三个选项change的时候没有限制 so 我们可以在main函数结束的时候改变返回地址 hackhere函数里有个system('/bin/bash')不同于system('/bin/sh')打通之后会出现没有bash所以我们不能直接利用hackhere这个函数的地址当作main函数的返回地址!我们可以把plt表的system函数的地址当作返回地址,传参'sh'思路有啦 我们接下来就要考虑在哪
XCTF stack2 [Writeup]
柷敔的博客
02-01 250
32bit程序劫持main函数返回地址,构造system函数,准备sh参数
xctf-pwn-stack2 & pwn1 & welpwn
njh18790816639的博客
07-30 264
stack2 首先探测一番,是32位,看下保护! ida静态分析一番! 还有个后门函数: 原先先要使用这个后门函数,但是发现远程服务器是没有bash的,所以这个后门函数是没有用的,误导我等! 不过还是先按正常思路来说,这第三个函数是没有检查数据的合法性的。 ...
welpwn [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列24
重新启程
12-27 1361
题目地址:welpwn 本题是高手进阶区的第13题,先看看题目 照例检查一下保护机制 [*] '/ctf/work/python/welpwn/a9ad88f80025427592b35612be5492fd' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found ...
XCTF-PWN-level2-WP
l2645470582_的博客
08-02 296
1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec 4 3、该文件是32位文件,用32位IDA打开该文件 3.1、shift+f12查看关键字符串 我们看到"/bin/sh"的地址为:x0804A024 3.2、双击关键字符串,按Ctrl+x,再f5进入main函数的反汇编代码 3.3、我们看到关键函数vulnerable_function(),双击进入 3.4、我们看到buf溢出,双击buf查看字符串 buf:0x88...
pwn CTF 4th-QCTF-2018 stack2
qq_41071646的博客
01-23 3521
先把程序跑一遍看看·~~~~~~~ 然后我们好像可以 加数还有 改变数   4功能好像还是 求平均数的 ~~~~ 看来功能还是很齐全的吗~~~~  然后我们 咦 这里的平均数为啥是  2.00呢 ~!~~~~  带着疑问去 看ida 这里好像没有什么毛病  限制了 输入的数量是99 然后往下看   这里就是bug了    因为我们没有检查v13数组的边界 这里我们可...
XCTF 4th-QCTF-2018 pwn stack2 writeup
qq_39596232的博客
08-30 980
题目描述: 暂无 分析思路: 1、首先拿到ELF文件,我们首先查看一下详细信息: tucker@ubuntu:~/pwn$ file stack2 stack2: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-, for GNU/Linux...
No leak XCTF 4th-QCTF-2018
qq_41071646的博客
07-25 748
这个题真的很好玩 先看一下保护 PIE 和 NX没开 那么我们可以 用shellcode 来写这一道题 先用ida 看一下题目 会发现 没有show 也就是输出函数 但是 dele 函数确实能够 安排很多东西 UAF 等等 而且我们发现 edit 可以自己定size 那么 就可以堆溢出 但是有一点就是 由于指针没有清0 如果我们不自己清0...
攻防世界pwn-stack2学习记录
Hotspurs的博客
11-18 1526
pwn新手一枚,做这题时苦苦没找出来题解上说的0x84偏移,经过多次尝试,终于找到了正确的方式,遂以记录。 首先分析漏洞点: 当选择3.change number时,程序没有对输入的v5进行检测,遂可以产生溢出 之后看到程序给了getflag 开启动态调试,此时在v13[v5] = v7;处下断点。 如图所示输入 转到汇编指令,查看这个地址(edx存的就是输入9,看看他把9...
XCTF-WEB进阶-fakebook
最新发布
02-28
### XCTF WEB进阶 Fakebook 解题报告 #### 源码分析 Fakebook 类似于社交网络平台,在此环境中存在多个功能模块,包括但不限于用户注册、登录以及个人信息管理等功能。通过查看源代码发现,该应用可能存在多种安全漏洞。 对于假想的 `fakebook` 平台而言,其核心逻辑通常围绕着用户的会话管理和数据交互展开。假设存在如下简化版 PHP 伪代码表示部分关键业务流程: ```php <?php class User { public $username; public $password; function login($input_username, $input_password){ // 存在一个潜在的安全隐患:未对输入做严格验证 if ($this->username === $input_username && md5($input_password) === $this->password){ $_SESSION['logged_in'] = true; return "Login successful"; } return "Invalid credentials"; } } ?> ``` 上述代码片段展示了用户认证过程中可能存在的安全隐患——使用弱哈希算法 MD5 对密码进行了处理[^1]。 #### 安全问题剖析 基于以上描述可以推测出几个主要攻击面: - **弱哈希函数**:MD5 已经被证明不再适合用于保护敏感信息,因为它容易受到碰撞攻击的影响。 - **缺乏输入过滤机制**:未能有效防止恶意字符进入系统内部,这可能导致 SQL 注入或其他类型的注入攻击发生。 - **不恰当的错误消息返回**:当用户名或密码错误时给出的具体提示可能会帮助攻击者缩小猜测范围。 #### 利用技巧 针对这些弱点,参赛选手可以从以下几个方面入手尝试突破并解决问题: - 尝试暴力破解或者彩虹表查找已知 MD5 值对应的原始字符串; - 测试是否存在其他形式的数据注入风险点,比如 URL 参数、POST 请求体内的字段等位置; - 探索是否有任何地方暴露出过多调试信息给外部访问者利用; 成功完成挑战后一般可以获得 flag 或者进一步的操作权限作为奖励。 #### 复现过程 为了模拟真实的渗透测试场景,建议按照以下方式构建实验环境来进行练习: 1. 构建一个类似的 Web 应用程序框架,确保其中包含了所有必要的组件和服务依赖关系; 2. 实施相应的防护措施来抵御常见的Web 攻击手段,如 XSS 和 CSRF 等; 3. 使用工具辅助自动化执行某些特定任务,例如 Hydra 可以用来实施字典攻击尝试登陆接口; 4. 记录每一步操作细节以便后续总结经验教训,并分享给社区成员共同学习进步。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值