XCTF-pwn level2 - Writeup

最新推荐文章于 2025-04-26 16:10:30 发布
最新推荐文章于 2025-04-26 16:10:30 发布
阅读量5.1k 收藏 4
点赞数 4
CC 4.0 BY-SA版权
文章标签: CTF PWN Writeup level2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/macro_wing/article/details/98243439
本文详细解析了XCTF-pwn-level2挑战题的解决过程,重点介绍了如何利用面向返回的编程(ROP)技巧绕过NX保护机制,实现对目标程序的控制并最终获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

XCTF-pwn-level2 WP

终于可以写这个pwn题的wp咯~
很开心,说明我又有一些收获来解决了一些问题

题目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’

先将elf文件下载丢到乌班图里查看一下文件类型,通过checksec查看一下保护情况最后在运行一下瞅瞅到底运行起来是杂肥似。
基本的运行情况
可以看到NX这项保护是开启的状态,这意味着:栈中数据没有执行权限,常用的call esp或者jmp esp的方法在这里就不能使用辽,但是可以利用rop这种方法绕过

然后丢到ida里面瞅瞅,来尝试寻找存在漏洞的溢出点:
在这里插入图片描述
在vulnerable_function()中阔以发现溢出点可能出现在read函数中
然后在shift + F12看一下字符串
在这里插入图片描述
看到了两个我们想要看到的东东,一个是system还有一个就是/bin/sh 咯
所以我们需要做的就是调用system("/bin/sh")辽
在计算一下偏移量:
在这里插入图片描述
看样子就是需要填满的的buf为0x88+0x4
构造一个system("/bin/sh")的伪栈帧
通过控制vulnerable_function()返回到该伪栈帧执行system("/bin/sh")来get shell
然后把system以及bin/sh构造进payload
payload = ‘a’ * (0x88 + 0x4) + p32(sys_addr) + p32(0) + p32(bin_addr)
其中p32(0)为system("/bin/sh")执行后的返回地址,整上个0就能行。
最后滴exp以及结果:
在这里插入图片描述
然后就成功获取到flag咯

当然在这个过程中发现还是会有一些东东没有掌握好还需要慢慢努力学习~~

菜小狗.
关注
pwn1(xctf)
weixin_43868725的博客
08-08 561
0x0 程序保护和流程 保护: 流程: 输入1能够读入长度为0x100的字符串到s而s距离rbp的距离为0x90存在明显的栈溢出,输入2能够输出s,输入3则退出程序。 0x1 利用过程 1.因为程序保护中开启了canary所以直接进行栈溢出就会触发canary。所以可以利用puts函数的特性一直输出字符直到遇到**\x00**,将canary的值输出出来。当输入0x87*‘a’+’/n’时不会有多余数据输出,而当输入0x88*‘a’+’/n’就会有多余数据输出,说明canary中有**\x00**。
string [XCTF-PWN]CTF writeup系列7(超详细分析)
重新启程
12-20 4204
题目地址:string 先看看题目情况 照例检查一下保护机制 root@mypwn:/ctf/work/python# checksec 167e00a26ef44e1f888b3ede29d88e38 [*] '/ctf/work/python/167e00a26ef44e1f888b3ede29d88e38' Arch: amd64-64-little RE...
level2(xctf)
weixin_43868725的博客
05-06 609
0x0 程序保护和流程 保护: 逻辑: main() vulnerable_function() 很明显是一个栈溢出漏洞。 0x1 利用过程 既然系统给了一个system(),那么只需要/bin/sh就可以getshell了。所以要么我们自己构造要么去二进制文件中寻找。 找到了字符串之后就可以对漏洞进行利用了。根据32位可执行文件的调用函数的参数入栈顺序,我们可以将buf=‘a’*(0x8...
Level2股票行情数据接口:揭秘主力动向,助您抢占投资先机
最新发布
04-26 1万+
Level2数据实时推送每一笔委托与成交(包括撤单记录),还原市场最真实的博弈细节。普通行情仅展示5档买卖盘,Level2提供10档深度数据,结合委托单分布与挂撤动态,预判短期支撑压力位,辅助制定止盈止损策略。:以万科A竞价阶段为例(图1),Level2数据清晰显示百万级大单委托与撤单轨迹,帮助用户识破“高开陷阱”,避免跟风被套。Level2数据可拆解每笔委托的规模(大单/中单/小单),结合买卖方向与撤单行为,精准判断主力资金动向。普通投资者依赖的L1行情数据每3秒更新一次,而。
XCTF pwn level2
weixin_46128614的博客
02-03 439
使用ida打开发现buf只有0x88,但是读取了0x100,存在溢出点 然后存在system函数和字符/bin/sh 有一点不太懂,选的是_system的地址,而不是system的地址,看了师傅的wp好像是这题的system函数申明了一个外部近指针,没有内容,不太明白 然后就是构造payload payload=“a”*(0x88+0x4)+p32(sys_addr)+p32(0)+p32...
xctf--新手区--level2
gclome的博客
04-19 769
writeup: checksec查看保护机制 32位程序,开了NX和Partial RELRO 顺便运行一下: 接着放到IDA里面: 在这里可以看见buf长度是0x88,我们可以的输入0x100个字符,我们在这里是可以发生缓冲区溢出 可是这里并没有像上一题一样有一个直接调用system("/bin/sh")的函数,所以上题的方法显然走不通。 还记得题目描述吗?菜鸡请教大神如何获得flag,大...
(Jarvis Oj)(Pwn) level2
Nothing
04-19 1124
(Jarvis Oj)(Pwn) level2 首先用checksec查一下保护。这次NX开启了。 用ida反汇编,找到溢出点。 这次system函数又出现了。于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,于是记录下地址(或者...
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1803
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
warmup [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列14
重新启程
12-23 1946
题目地址:warmup 这是高手进阶区的第三题,我们先看下题目内容 这个题目没有附件,那就是要fuzz的题目了,我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个题目的出发点就是要大家做fuzz,看下提示内容有个地址0x40060...
stack2 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列15
重新启程
12-23 1532
题目地址:stack2 这是高手进阶区的第四题了,速度挺快啊,朋友!加油! 废话不说,看看题目先 没有什么特别的内容,那就看看保护机制 root@mypwn:/ctf/work/python/stack2# checksec fcca8ceb507544d1bd9c4a7925907a1d [*] '/ctf/work/python/stack2/fcca8ceb507544d1b...
pwn100 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列16
重新启程
12-23 1397
题目地址:pwn100 本题已经是高手进阶区的第五题了,难度也在不断加大。需要补充的知识点也越来越多了。 废话不说,看看题目 没什么建议和描述,那就先下载附件,看看保护机制 root@mypwn:/ctf/work/python/pwn-100# checksec d0b5f9b486bb480c9035839ec896252e [*] '/ctf/work/python/pwn-10...
攻防世界 Pwn level2
MrTreebook的博客
07-16 616
攻防世界pwn level2 1.file 和 checksec 先走一遍 是一个32位的文件 看到 RELRO的状态是 Partial 2.放进IDA32看一下 有一个system函数 进入vulnerable_function看一下 buf可以溢出 进入栈空间看看 136byte的buf再加上4byte的数据溢出返回system的地址 本题开始前就提示我们用ROP 现在去plt表上暴露system的地址 3.编写exp 先构造paylod system_plt = elf.plt["syst
XCTF - pwn when_did_you_born - WP
weixin_30340745的博客
09-12 236
1.先拉进虚拟机运行一下 2.检查一下文件格式,发现是64位文件,然后这个文件开了 canary 和 Nx 保护,但是影响不大。 3.用 ida64 反编译查看一下,进入main函数。不难发现,当进入 else 分支后使得 v6 得 1926 即可得到 flag。 4.现在的问题是将第一次 v6 不得 1926 而第二次检...
攻防世界PWN-level2
Deeeelete的博客
11-13 1170
题目:level2 开PE看信息,进checksec看详情 进checksec,查看到程序无PIE,堆栈不可执行,无栈保护 跑一遍逻辑,还是hello word 于是开32位IDA查看 f5main函数 看源码,主要就是echo了一个hello world,同时很明显上方有一个显眼的脆弱函数 双击进入脆弱函数查看 单独摘出源码 ssize_t vulnerable_function() { char buf; // [sp+0h] [bp-88h]@1 system("ec
pwn-200(xctf)
weixin_43868725的博客
08-08 676
0x0 程序保护和流程 保护: 流程: main() overflow() 明显的栈溢出漏洞。 0x1 利用过程 1.由于题目没有给出libc的版本,所以需要通过pwntools中的DynELF或者Libcsearch得出libc的版本。 2.如果使用DynELF则需要向内存写入**/bin/sh**,而Libcsearch则不用。 3.payload的构造(以DynELF为例): payload=padding+p32(read_plt)+p32(ppp_addr)+p32(0)+p32(bss_
JarvisOJ-PWN-Level2
杀生丸?不,其实我要的是桔梗
03-22 729
JarvisOJ-PWN-Level2 IDA打开,稍微分析下发现其和level1大致一样,都是利用read栈溢出。 shift+12查看字符串 看到/bin/sh 双击得到地址: 再看到这个: 那么就是要传参数到system()里了。 所以构造代码如下: # -*- coding:utf-8 -*- from pwn import * # sh = proce...
pwn 例题level2解析
m0_67423114的博客
04-26 595
下面就是寻找bin/sh了,由于题目较为基础,我们甚至能够直接在源代码中找到/bin/sh,利用它和main函数已存在的system函数,即可凑齐构造payload的全部材料。看开头英文变量以及观察末尾,可知Frame Size大小为0x88,Saved regs大小为0x04,即需要写0x88+0x04个填充后才能到达返回地址。可以看到存在一个缓冲区buf,并且大小为0x88,并且该函数返回了一个read函数,大小为0x100u,双击&buf变量具体查看。通过这种套路,确实获得了/bin/sh的地址!
XCTF pwn stack2
zwb2603096342的博客
05-21 641
XCTF pwn stack2的个人wp,利用数组边界没有检查的漏洞,进行地址覆盖,达到目的
攻防世界pwn新手练习(level2
BurYiA的博客
12-24 777
level2 可以看到题上已经有提示了(ROP) 我们看一下程序的保护状态和它的运行情况 开了NX,问题不大。运行可以发现有一个输入点 放IDA里看看 在字符串窗口可以发现有system和**/bin/sh** 这就很舒服了呀,再结合一下题目给的提示,构造ROP链就行 1 1 ...
XCTF-WEB进阶-fakebook
02-28
### XCTF WEB进阶 Fakebook 解题报告 #### 源码分析 Fakebook 类似于社交网络平台,在此环境中存在多个功能模块,包括但不限于用户注册、登录以及个人信息管理等功能。通过查看源代码发现,该应用可能存在多种安全漏洞。 对于假想的 `fakebook` 平台而言,其核心逻辑通常围绕着用户的会话管理和数据交互展开。假设存在如下简化版 PHP 伪代码表示部分关键业务流程: ```php <?php class User { public $username; public $password; function login($input_username, $input_password){ // 存在一个潜在的安全隐患:未对输入做严格验证 if ($this->username === $input_username && md5($input_password) === $this->password){ $_SESSION['logged_in'] = true; return "Login successful"; } return "Invalid credentials"; } } ?> ``` 上述代码片段展示了用户认证过程中可能存在的安全隐患——使用弱哈希算法 MD5 对密码进行了处理[^1]。 #### 安全问题剖析 基于以上描述可以推测出几个主要攻击面: - **弱哈希函数**:MD5 已经被证明不再适合用于保护敏感信息,因为它容易受到碰撞攻击的影响。 - **缺乏输入过滤机制**:未能有效防止恶意字符进入系统内部,这可能导致 SQL 注入或其他类型的注入攻击发生。 - **不恰当的错误消息返回**:当用户名或密码错误时给出的具体提示可能会帮助攻击者缩小猜测范围。 #### 利用技巧 针对这些弱点,参赛选手可以从以下几个方面入手尝试突破并解决问题: - 尝试暴力破解或者彩虹表查找已知 MD5 值对应的原始字符串; - 测试是否存在其他形式的数据注入风险点,比如 URL 参数、POST 请求体内的字段等位置; - 探索是否有任何地方暴露出过多调试信息给外部访问者利用; 成功完成挑战后一般可以获得 flag 或者进一步的操作权限作为奖励。 #### 复现过程 为了模拟真实的渗透测试场景,建议按照以下方式构建实验环境来进行练习: 1. 构建一个类似的 Web 应用程序框架,确保其中包含了所有必要的组件和服务依赖关系; 2. 实施相应的防护措施来抵御常见的Web 攻击手段,如 XSS 和 CSRF 等; 3. 使用工具辅助自动化执行某些特定任务,例如 Hydra 可以用来实施字典攻击尝试登陆接口; 4. 记录每一步操作细节以便后续总结经验教训,并分享给社区成员共同学习进步。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值