XCTF-pwn-cgpwn2 - Writeup

最新推荐文章于 2022-11-05 16:00:22 发布
原创 最新推荐文章于 2022-11-05 16:00:22 发布 · 6.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CTF #PWN #Writeup

虽然现在做的pwn题虽然很简单,但是已经慢慢的开始对解pwn题的过程有一些基础的思路了。

首先惯例流程走一遍:

在这里插入图片描述
丢到ida 瞅一眼
在这里插入图片描述
有看到system但是没有看到/bin/sh
查看hello的伪代码发现一些有趣的东西:
在这里插入图片描述
在这儿看到了gets()函数,这说明可能在这儿存在溢出漏洞。
同时点开上面的name,发现name固定的全局变量bss段
在这里插入图片描述
因而我们可以将/bin/sh构造进这个地址当中。
下一步来寻找能够发生溢出的偏移量:
这里用到了一个很方便的工具pattern,它常用于测试程序精准溢出时的四个字符从而确定精准溢出的偏移量。
在这里我们用gdb来辅助我们进行调试:
在这里插入图片描述
这样我们就能测试出精准发生溢出的值:42

到此为止就可以构造exp了
在这里插入图片描述

cgpwn2(xctf)
weixin_43868725的博客
05-06 422
0x0 程序保护和流程 保护: 流程: main() hello() 可以发现在hello()中存在栈溢出。 0x1 利用过程 在函数窗口中发现了system()函数,所以我们只需要字符串"/bin/sh"。就可以getshell了。仔细观察程序可以发现name变量是全局变量存放在.bss段中。 所以我们只需要向name中输入"/bin/sh",s=‘a’*(0x26+4)+p32(sys...
0x00 cg_pwn2XCTF攻防世界pwn系列writeup
weixin_36711901的博客
11-20 564
目录一、基本情况分析:二、构造payload:三、EXP:合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 一、基本情况分析: 首先对可执行文件进行基本检查: 如图所示,该文件为32位i386的ELF可执行文件,只开启了NX,RELRO(部分
攻防世界pwn——cgpwn2
qq_62076255的博客
11-05 494
攻防世界pwn——cgpwn2
cgpwn2 writeup
ditto的博客
01-07 1823
拿到题目检查防护: 简单运行下: 放到ida里看下: hello函数的代码如下: char *hello() { char *v0; // eax signed int v1; // ebx unsigned int v2; // ecx char *v3; // eax char s; // [esp+12h] [ebp-26h] int v6; // [esp+1...
day-10 xctf-cgpwn2
a525024162806525的博客
09-30 229
xctf-cgpwn2 题目传送门:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5059&page=1 拿到题目,checksec,发现No canary found ,唔。。。。 运行一下,大概功能是:输入名字,输入message,...
XCTF-pwn-pwn100 writeup
Morphy_Amo的博客
12-13 1630
XCTF-pwn-pwn100
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1939
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
string [XCTF-PWN]CTF writeup系列7(超详细分析)
重新启程
12-20 4280
题目地址:string 先看看题目情况 照例检查一下保护机制 root@mypwn:/ctf/work/python# checksec 167e00a26ef44e1f888b3ede29d88e38 [*] '/ctf/work/python/167e00a26ef44e1f888b3ede29d88e38' Arch: amd64-64-little RE...
get-shell [XCTF-PWN]CTF writeup系列1
重新启程
12-19 2057
因为做vulhub靶场Serial2,在最后一步用到了rop技术,所以就顺便把自己学习pwn的过程做下记录。 今天做的ctf题目是pwn新手训练场的第一题get-shell。 首先我们点击获取在线场景 然后我们就可以看到,这个题目给我们提供了一个服务器端口,我们可以通过telnet连接这个端口 我们可以看到 这个端口是可以直接连接的,这道题目,因为没有回显文件,所以就看不到什么...
warmup [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列14
重新启程
12-23 2016
题目地址:warmup 这是高手进阶区的第三题,我们先看下题目内容 这个题目没有附件,那就是要fuzz的题目了,我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个题目的出发点就是要大家做fuzz,看下提示内容有个地址0x40060...
攻防世界 cgpwn2 writeup
yajuanpi4899的博客
12-02 336
攻防世界 cgpwn2 writeup 新手刷题
pwncgpwn2
qq_43430261的博客
10-22 793
https://blog.youkuaiyun.com/qq_43986365/article/details/94974853 https://blog.youkuaiyun.com/Closing_time/article/details/100428850 https://www.jianshu.com/p/3d19056282bf https://bbs.pediy.com/thread-254851.htm ...
攻防世界cgpwn2
zyh18851473527的博客
08-05 973
首先checksec,之后放入IDA中 点进hello 发现gets()函数可能会存在栈溢出,然后我们点进name 发现 name 地址是固定的,那我们可以它写入 bin/sh ,接着看能不能找到system 找到啦!所以这个题目的思路是:通过栈溢出漏洞,调用system函数,同时在name中写入"/bin/sh",把参数地址设置为name的首地址,就可以getshell了! gets() ...
cgpwn2 [XCTF-PWN]CTF writeup系列10
重新启程
12-20 609
题目地址:cgpwn2 先看看题目内容: 照例检查一下保护机制 root@mypwn:/ctf/work/python# checksec 330890cb0975439295262dd46dac13b9 [*] '/ctf/work/python/330890cb0975439295262dd46dac13b9' Arch: i386-32-little R...
攻防世界 cgpwn2
BengDouLove的博客
03-19 527
乍一看是个普通的溢出,但是没有给binsh字符串,我就想到bugku pwn4里面也是没有字符串,用的$0做字符串,也达到binsh的效果 可是一看只有$么得$0… 然后我就开动脑筋,这回还真没看别人的wp,自己想的,可喜可贺 我灵机一动,,前面输入名字是什么玩意,,点进去name一看在bss段上,,那不就可以找到了,他也没开pie 第一次输入/bin/sh不就完了,然后第二次溢出覆盖返回...
攻防世界PWN-cgpwn2
Deeeelete的博客
11-14 542
题目:cgpwn2 拖进PE查看一下 32位程序 checksec查看 简单执行一下 开32位IDA f5反编译main函数 main函数中直接就是输出了,输入的内容好像藏在了hello方法里 双击进去查看 单独拿出源码 char *hello() { char *v0; // eax@1 signed int v1; // ebx@1 unsigned int v2; // ecx@3 char *v3; // eax@5 char s; // [sp+12
PWN 学习—某平台ROP2 writeup
SNAKEのBlog
08-01 557
64位栈帧学习 writeup 本能反应 RELRO:RELRO会有Partial RELRO和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 Stack:如果栈中开启Canary found,那么就不能用直接用溢出的方法覆盖栈中返回地址,而且要通过改写指针与局部变量、leak canary、overwrite canary的方法来绕过 NX:NX enabl...
cgpwn2---writeup
ATFWUS的博客
03-01 669
文件下载地址: 链接:https://pan.baidu.com/s/1MjaJM7ThNQewgIkpFKl3cg 提取码:v4l7 0x01.分析 checksec: 32位程序,仅开启NX。 查看源码: 大概理清一下流程,首先会输出字符串,然后要求输入一个字符串,放到name里面,然后返回的时候,再此要求出入字符串,然后再输出一句话后程序结束。 发现高危函数:g...
Bugku旧平台pwn writeup
a370793934的专栏
11-28 879
Pwn1 nc 114.116.54.89 10001 连上cat flag: flag{6979d853add353c9} Pwn2 #!/usr/bin/env python3 # -*- coding:utf-8 -*- from pwn import * context.log_level='debug' p = process("./pwn2") #p = re...
XCTF-WEB进阶-fakebook
最新发布
02-28
### XCTF WEB进阶 Fakebook 解题报告 #### 源码分析 Fakebook 类似于社交网络平台,在此环境中存在多个功能模块,包括但不限于用户注册、登录以及个人信息管理等功能。通过查看源代码发现,该应用可能存在多种安全漏洞。 对于假想的 `fakebook` 平台而言,其核心逻辑通常围绕着用户的会话管理和数据交互展开。假设存在如下简化版 PHP 伪代码表示部分关键业务流程: ```php <?php class User { public $username; public $password; function login($input_username, $input_password){ // 存在一个潜在的安全隐患:未对输入做严格验证 if ($this->username === $input_username && md5($input_password) === $this->password){ $_SESSION['logged_in'] = true; return "Login successful"; } return "Invalid credentials"; } } ?> ``` 上述代码片段展示了用户认证过程中可能存在的安全隐患——使用弱哈希算法 MD5 对密码进行了处理[^1]。 #### 安全问题剖析 基于以上描述可以推测出几个主要攻击面: - **弱哈希函数**:MD5 已经被证明不再适合用于保护敏感信息,因为它容易受到碰撞攻击的影响。 - **缺乏输入过滤机制**:未能有效防止恶意字符进入系统内部,这可能导致 SQL 注入或其他类型的注入攻击发生。 - **不恰当的错误消息返回**:当用户名或密码错误时给出的具体提示可能会帮助攻击者缩小猜测范围。 #### 利用技巧 针对这些弱点,参赛选手可以从以下几个方面入手尝试突破并解决问题: - 尝试暴力破解或者彩虹表查找已知 MD5 值对应的原始字符串; - 测试是否存在其他形式的数据注入风险点,比如 URL 参数、POST 请求体内的字段等位置; - 探索是否有任何地方暴露出过多调试信息给外部访问者利用; 成功完成挑战后一般可以获得 flag 或者进一步的操作权限作为奖励。 #### 复现过程 为了模拟真实的渗透测试场景,建议按照以下方式构建实验环境来进行练习: 1. 构建一个类似的 Web 应用程序框架,确保其中包含了所有必要的组件和服务依赖关系; 2. 实施相应的防护措施来抵御常见的Web 攻击手段,如 XSS 和 CSRF 等; 3. 使用工具辅助自动化执行某些特定任务,例如 Hydra 可以用来实施字典攻击尝试登陆接口; 4. 记录每一步操作细节以便后续总结经验教训,并分享给社区成员共同学习进步。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值