攻防世界pwn新手练习(cgpwn2)

最新推荐文章于 2024-07-12 10:31:01 发布
最新推荐文章于 2024-07-12 10:31:01 发布
阅读量577 收藏
点赞数
分类专栏: pwn 攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43681242/article/details/105125010
版权

题目链接

分析

我们来看这道题,首先checksec并运行一下
在这里插入图片描述
可以看到是32位程序,有两个输入点,保护只有 NX。

接下来我们在ida中看看分析。在hello函数的最后我们可以看到这些东西
在这里插入图片描述
这就是程序给我们的两个输入点,可以看到第二个是 gets ,那就很方便了,直接溢出利用就行,翻看其他函数我们可以发现有一个system函数

在这里插入图片描述

很遗憾的是只有system函数而没有我们需要的shellcode

看来只能我们自己往程序里面写了,可以发现的是第一个输入点哪儿有一个name,点击跟进

在这里插入图片描述

.bss 段的一个地址,我们知道NX开启的时候&#x

最低0.47元/天 解锁文章
攻防世界 when_did_you_born
09-28 292
1.题目 2.IDA反汇编C程序 3.程序流程分析 首先输入Birth,如果Birth==1926直接退出;否则,输入Name,这时,判断Birth是否==1926.等于则get flag。 很明显,输入名字就是专门为我们提供溢出点的。两个变量的位置如下图: 0x20 - 0x18 = 0x8 也就是说name和birth之间间距8个单元。exp如下 from pwn import * #io = process('./when_did_you_born') io = remo
攻防世界PWN新手练习区——cgpwn2
smsyz2019的博客
09-23 396
攻防世界PWN新手练习区——cgpwn2 首先检查文件的有哪些保护 checksec cgpwn2 32位程序 用IDA反编译文件 main函数中只有hello函数,点击查看
[攻防世界]cgpwn2
逆向萌新的博客
06-11 455
[攻防世界]cgpw2n
攻防世界 Pwn cgpwn2
MrTreebook的博客
12-12 678
攻防世界 Pwn cgpwn21.题目下载地址2.checksec分析3.IDA分析3.1.看一下溢出大小4.exp4.1.运行结果 1.题目下载地址 点击下载 2.checksec分析 只开启了NX保护,应该不会有太多障碍 直接进IDA看一下 3.IDA分析 main函数中有一个hello函数,我们直接看hello函数 可以看到第二个gets函数没有限制输入大小,很明显是栈溢出 再看看有没有其他后门函数 看到有一个pwn函数中调用了system 而且第一个gets函数输入的name正好是处于bs
攻防世界pwn——cgpwn2
qq_62076255的博客
11-05 445
攻防世界pwn——cgpwn2
攻防世界-cgpwn2
qq_45771413的博客
04-23 311
查看保护 无栈保护,无PIE保护 IDA 两次输入,一个输入名字(限制了输入长度),一个输入信息(gets可以作栈溢出) 解题思路 shift+f12查找字符串并没有发现/bin/sh,可能需要自己整,或者藏在某个变量里 在找_system函数的过程中,发现了pwn命名的函数,进入发现有system调用,第一次做的时候看到system就乐了,直接溢出s,然后跳转到pwn地址,结果真就只有 hehehe …… 估计这是出题人的恶趣味…… 后来我在函数列表里找到了真正的_system,括号内的comma
攻防世界pwn新手练习区通关教程
玄道的网安博客
05-19 3778
when_did_you_born 我们通过溢出来覆盖v5为1926即可 代码块 from pwn import * r = remote("124.126.19.106",31534) payload = 'a'* (0x20-0x18) +p64(1926) r.recvuntil("What's Your Birth?\n") r.sendline("2000") r.recvuntil("What's Your Name?\n") r.sendline(payload) print r.re
攻防世界 cgpwn2
weixin_73399382的博客
07-12 1158
看到这fgets读取我们的输入到name中,因为程序没留shell,我们可以直接传入/bin/sh这个系统的默认shell,又因为下面使用gets从s中读取,我们可以使用让s溢出返回我们在name里面传入的默认/bin/sh。下面这个是利用plt查找system在got表中的地址,以后程序开启地址随机化的话函数的地址是变化的,就需要这么来找。s的内存空间+0处start到s需0x26字符,r是偏移指针到start处需0x4字符。system函数的地址我们刚才已经找到了,可以直接写脚本了。
pwn学习笔记2cgpwn2攻防世界新手pwn题)
weixin_45927195的博客
03-14 588
改变system函数的参数 先运行,发现可以输入两次。再查看防御机制,开启了NX保护,即堆栈不可执行。 用ida查看主函数,发现只有一个hello()函数。查看其内容,直接找到运行时看到的"please tell me your name"。第一次输入规定了长度,第二次没有规定,存在漏洞: 找到一个后门函数pwn(),存在 call _system语句,但是这个函数的参数"echo heheh...
攻防世界 - pwn - cgpwn2
qq726232111的博客
03-16 271
A、流程分析 1、将输入的用户名存储到全局变量 2、通过gets()获取留言信息 B、利用分析 1、gets( ebp-26h ) -> 26h(填充数据) + 4(ebp) + 4(返回地址) -> payload构造 2、可利用函数 在pwn函数有system函数,可通过该地址调用系统命令 3、用户名使用的全局变...
攻防世界PWN-cgpwn2
Deeeelete的博客
11-14 478
题目:cgpwn2 拖进PE查看一下 32位程序 checksec查看 简单执行一下 开32位IDA f5反编译main函数 main函数中直接就是输出了,输入的内容好像藏在了hello方法里 双击进去查看 单独拿出源码 char *hello() { char *v0; // eax@1 signed int v1; // ebx@1 unsigned int v2; // ecx@3 char *v3; // eax@5 char s; // [sp+12
攻防世界pwn-cgpwn2
a_silly_coder的博客
01-15 1530
下载文件后,首先检查保护: 随后将文件拖入ida,查看源码,在hello函数中,发现了如下代码 首先用安全的fgets输入了一个变量,接着用不安全的gets接收了一个变量,在此处可以确认是栈溢出,且溢出点就在此处。 开始寻找利用方式,发现了system函数 还缺一个"/bin/sh"字符串,找遍了代码,没有发现,但是由于此前可以有一个自己的输入,保存在name变量上,即可以自己手动输入"/bin/sh",自此,设计栈结构为: 开始编写脚本: from pwn imp...
攻防世界_pwn_cgpwn2(萌新版)
TedLau的博客
02-24 421
首发于鄙人博客:传送门 0x00 前言 省略file checksec,此两步大家都能够实现。 0x10 步骤 0x10 hello函数 为32位文件,用32位ida打开后,可以发现如下hello函数 在hello函数中我们可以发现,他让我们输入两块内容,一个是name,一个是some message。 0x11 _system函数 而在左侧的函数栏中,我们可...
攻防世界: cgpwn2
qq_41071646的博客
01-02 4410
这个题 也是新手入手的题 比较简单   怎么说呢 就是一个简单的构造罢了 点进hello  然后发现  然后我们点进name   发现 name 地址是固定的 我们可以将这个写入 bin/sh 就可以了 然后看 system列表    这里可以看的出来  是有42个 字符  就可以 返回我们gets 的返回地址  然后  我们 只需要 讲system 搞进去 然后输入...
攻防世界cgpwn2
zyh18851473527的博客
08-05 948
首先checksec,之后放入IDA中 点进hello 发现gets()函数可能会存在栈溢出,然后我们点进name 发现 name 地址是固定的,那我们可以它写入 bin/sh ,接着看能不能找到system 找到啦!所以这个题目的思路是:通过栈溢出漏洞,调用system函数,同时在name中写入"/bin/sh",把参数地址设置为name的首地址,就可以getshell了! gets() ...
pwncgpwn2
qq_43430261的博客
10-22 777
https://blog.youkuaiyun.com/qq_43986365/article/details/94974853 https://blog.youkuaiyun.com/Closing_time/article/details/100428850 https://www.jianshu.com/p/3d19056282bf https://bbs.pediy.com/thread-254851.htm ...
2019.7.17 功放世界 cgpwn2
DSR446的博客
07-17 368
以下是该题的脚本: # -*- coding:utf-8 -*- from pwn import * elf=ELF('./cgpwn2') p = remote('111.198.29.45',47681) addr=0x804A080 #点击name,获得name的地址。 p.recvline() p.sendline('/bin...
攻防世界pwn[cgpwn2]
SUOYE_GUANXING的博客
10-31 196
将 "/bin/sh" 写入name, 用gets函数进行栈溢出, system为返回值, name为system的参数。flag为:cyberpeace{b232df4322e677518de6a61097130634}下载文件,先check一下;这里需要0x26+0x4才能到我们的返回地址;发现system,但没有/bin/sh;跟进name发现它是一个静态地址;学的还是有点迷,但慢慢来嘛~32位的ida打开;进入hello函数;
攻防世界pwn cgpwn2
最新发布
03-08
### 攻防世界 PWN CGPWN2 挑战解题思路 #### 题目分析 CGPWN2 是一个典型的缓冲区溢出漏洞利用题目。通过 `checksec` 工具检测得知该程序是一个32位的小端序可执行文件,启用了部分安全机制如 RELRO 和 NX,但未...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值