(攻防世界)(pwn)welpwn

最新推荐文章于 2023-06-01 09:59:10 发布
最新推荐文章于 2023-06-01 09:59:10 发布
阅读量2.7k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43986365/article/details/96425264

首先,放在最前面:这题服务器远端的libc版本是libc-2.23.so而不是libc-2.19.so的版本(害得我编译半天出不来)

看到题目,我们下载附件,一看是个tar.gz文件,我们解压一下,发现里面有三个文件:
在这里插入图片描述
我就心想,这个攻防世界怎么就这么好心这次,以前要给的时候从来不给,这次这么大方???答案是大错特错,这就是个骗局,这个反而是个障碍,版本根本就是错的(但仔细一想,有可能是出题者故意的,考验大家 ,?。

拿到这题,查看保护,已成习惯
在这里插入图片描述
一看,基本的amd64-64位构造,没开Canary,没开地址无关PIE,就开了个NX,我们就能想到用ROP。
结果一查程序:
在这里插入图片描述
双击进去,(不仔细看以为是什么echo???)
在这里插入图片描述
双击进去,原来里面暗藏玄机,看得代码,发现这个函数是将你输入的字符复制到s2上,并且以0结束,我们可以看到距离rbp很短,很容易构成溢出,但是我们不能有\x00出现,但是,如果我们要写64位的地址,没有\x00是不可能的,所以我们就要另想办法。
还好,程序本身给我们提供了这么个好条件,我们可以看到echo函数的

最低0.47元/天 解锁文章

200万优质内容无限畅学
PLpa、
关注
攻防世界 welpwn
10-07 350
1.题目 2.IDA分析 3.流程分析 流程很简单,输入buf,这里不存在溢出,然后进入echo方法,将buf复制到s2,当遇到\x00就结束。这个条件会导致p64(addr)后面的内容被截断(地址经p64包装后肯定会出现\0x00)。栈结构如下: 也就是说,s2只能复制buf前面32个单元的内容。为了使32位后面的内容得以执行,我们需要在ret位置跳去执行四个pop指令,去掉buf前32位内容(也就是复制到s2里面的这些内容),这样就能连贯执行32位之后的内容了。 所以,..
攻防世界welpwn解题方法
liucc09的博客
01-07 464
分析 题目很程序很简单,输入字符串,将遇到\x00前的字符拷贝给s2数组,如果拷贝数量大于s2在栈上的空间就会发生溢出,可以覆盖到ret的位置从而控制程序流。 需要注意的是覆盖ret用的地址肯定会包含\x00,因此构造的rop链会断开,所以需要想办法。 解决办法为通过一串pop ret指令将栈上内容弹出,然后直接连接到buf所在位置继续rop链的执行。 输入buf后栈空间如下所示,可以看出在ret指令的位置填入一个具有四个pop再加一个ret的地址刚好能弹出buf中已经用掉的4*0x8个字节,然后就能续上
[攻防世界]-welpwn
m0_55906008的博客
12-05 692
pwn
攻防世界 welpwn WP
Zarcs_233的博客
01-29 1014
这道题出的确实很wel 拿到这题,查看保护 发现shellcode走不通,一般都是走rop路线 IDA打开,分析代码,发现main函数内调用了echo函数 这里的buf有0x400大,但是main不存在栈溢出,继续点开echo 这里我们发现有一个赋值的过程,但是a1也就是buff有0x400,而s2只有0x10字节。 很明显,复制过程中存在栈溢出,但是我一开始没发现这一点,那就是这个赋值的终止...
攻防世界高手进阶区 ——Welpwn
weixin_62675330的博客
03-21 1188
攻防世界高手进阶区 ——Welpwn 分析文件 checksec分析 coke@ubuntu:~/桌面/CTFworkstation/OADW/welpwn$ checksec welpwn [*] '/home/coke/桌面/CTFworkstation/OADW/welpwn/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX e
攻防世界pwn——pwn-200
qq_62076255的博客
12-23 624
做题记录
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 577
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1590
学习pwn开始,慢慢来不要急
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 684
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
攻防世界welpwn
weixin_56777139的博客
03-08 269
攻防世界welpwn
攻防世界 pwn——pwnstack
CNS-Enterprise BCC-1701-J
06-01 1553
攻防世界 做题练习
攻防世界 Pwn welpwn
MrTreebook的博客
12-25 2588
攻防世界 Pwn welpwn1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary 没有PIE 3.IDA分析 main函数中有一个可以输入的地方,但是不能溢出 接着往下看 在eho函数中,缓冲区至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到一个特殊的gadget,它就是破题的关键 我们
攻防世界 pwn
清霂的博客
02-02 734
目录1.get_shell2.when_did_you_born3.hello_pwn4.level05.level26.cgpwn2 1.get_shell nc连接题 连接后ls | cat flag 2.when_did_you_born file checksec 有canary保护,不能栈溢出 ida64 先输入v5,v5不能等于1926。再输入v4,注意有gets函数,不限制输入,但无法溢出,点进去v4,v5 发现var_18是v5,var_20是v4,那么可以输入v4时将v5的值覆盖为19
welpwn RCTF-2015 攻防世界
qq_41071646的博客
06-03 1716
参考链接 http://www.purpleroc.com/md/2015-11-17@RCTF-Writeup.html 这个题只是没有想到 找到这个点 然后 攻防世界 给的 so库也有问题 感觉 攻防世界的so环境都是 2.23的鸭 然后我就没有用DynELF 其实 可以在服务器看一下 地址 然后根据 后三位来判断是那个 只不过没有 DynELF 方便 思路就是 构造一个 ...
攻防世界PWNWelpwn题解
seaaseesa的博客
11-06 1763
首先用IDA查看 发现主函数不能栈溢出,我们看看echo这个函数 echo会把主函数输入的字符串复制到局部的s2里,并且s2只有16字节,可以造成溢出。Echo函数先循环复制字符到s2,如果遇到0,就结束复制,然后输出s2。因此,我们如果想直接覆盖函数返回地址,那么我们的目标函数必须没有参数,否则,我们用p64()包装地址时,必然会出现0。 比如我们的payload为payload...
DOSBOX中debug常用指令的使用
热门推荐
weixin_47586883的博客
10-22 1万+
仅作为个人学习笔记 挂在文件这些操作就不说了吧,一张图就够了 进入虚拟c盘,输入debug。 接下来先了解一下常用的一些debug中的命令。(命令不区分大小写) 一、查看、修改CPU中寄存器的内容:R命令。 1.直接输入r,查看寄存器中的内容: 2.改变寄存器中的内容: 可以观察到ax中的内容由0000改变成了ab23。 二、查看内存中的内容:D命令。 1.直接输入d,可以查看预设地址内存处的128个字节的内容: 输入r查看的内容中最下面一行就是当前所在的地址,即073f:0100,再输入d查看的就
攻防世界 pwn1
10-25 1055
1 题目 2 分析 流程很简单,提供三个功能,store print quit。store功能存在明显的溢出点: 接下来就是利用溢出点,将代码转跳到system方法执行即可。所以接下来的就要通过构造ROP将相对地址打印出来,然后溢出one_gadget.exp如下: from pwn import * from LibcSearcher import * io = remote("220.249.52.133","38178") context.log_level = 'debug.
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值