XCTF-pwn level2 - Writeup

本文详细解析了XCTF-pwn-level2挑战题的解决过程,重点介绍了如何利用面向返回的编程(ROP)技巧绕过NX保护机制,实现对目标程序的控制并最终获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

XCTF-pwn-level2 WP


终于可以写这个pwn题的wp咯~
很开心,说明我又有一些收获来解决了一些问题


题目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’

先将elf文件下载丢到乌班图里查看一下文件类型,通过checksec查看一下保护情况最后在运行一下瞅瞅到底运行起来是杂肥似。
基本的运行情况
可以看到NX这项保护是开启的状态,这意味着:栈中数据没有执行权限,常用的call esp或者jmp esp的方法在这里就不能使用辽,但是可以利用rop这种方法绕过

然后丢到ida里面瞅瞅,来尝试寻找存在漏洞的溢出点:
在这里插入图片描述
在vulnerable_function()中阔以发现溢出点可能出现在read函数中
然后在shift + F12看一下字符串
在这里插入图片描述
看到了两个我们想要看到的东东,一个是system还有一个就是/bin/sh 咯
所以我们需要做的就是调用system("/bin/sh")辽
在计算一下偏移量:
在这里插入图片描述
看样子就是需要填满的的buf为0x88+0x4
构造一个system("/bin/sh")的伪栈帧
通过控制vulnerable_function()返回到该伪栈帧执行system("/bin/sh")来get shell
然后把system以及bin/sh构造进payload
payload = ‘a’ * (0x88 + 0x4) + p32(sys_addr) + p32(0) + p32(bin_addr)
其中p32(0)为system("/bin/sh")执行后的返回地址,整上个0就能行。
最后滴exp以及结果:
在这里插入图片描述
然后就成功获取到flag咯

当然在这个过程中发现还是会有一些东东没有掌握好还需要慢慢努力学习~~

评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值