攻防世界PWN新手题(PWN——level2)

最新推荐文章于 2024-09-23 20:53:41 发布
原创 最新推荐文章于 2024-09-23 20:53:41 发布 · 983 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #反汇编

本文详细解析了一个栈溢出漏洞的分析与利用过程。通过对32位ELF文件的检查,发现仅开启不可执行堆栈保护。利用IDA进行反汇编,分析main和vulnerable_function函数,揭示了栈溢出的成因。构造payload覆盖返回地址,最终成功获取shell并读取flag。

level2

转载自原创superj.site

0x00

首先通过file和checksec分析该题的附件。

在这里插入图片描述
判断该文件是32位的ELF文件,只开启了不可执行的保护。

0x01

开始进行反汇编,用IDA 32位。

通过左侧的函数窗口发现,只有main、vulnerable_function可用,因此进行分析,两个函数如下图:

在这里插入图片描述

在这里插入图片描述

通过分析发现,在main函数中首先调用vulnerable_function,在vulnerable_function中的缓冲区大小为88h,而read函数能够写进缓冲区100h,因此存在栈溢出。

知道是栈溢出之后就需要找到溢出点:缓冲区大小加上ebp的4个字节后,就是返回地址的位置。

在这里插入图片描述
发现在ELF文件中存在字符串“/bin/sh”,而且在主函数中最后会再次调用一次system函数,因此判断可以返回最后一次调用的位置。因此构造payload。

payload = 'a' * 0x88 + 'a' * 4 + p32(0x0804849e) + p32(0x0804a024)

最后的0x0804a024/bin/sh的地址。

0x02

最后的exp为:

在这里插入图片描述

0x03

在这里插入图片描述

最后获取到shell,cat flag得到flag。

攻防世界(pwn)---level2
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-15 1715
攻防世界(pwn)level2 文章目录攻防世界(pwn)---level2目描述基本情况分析运行分析IDA 分析分析出payloadexp 目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 运行分析 IDA 分析 ssize_t vulnerable_function() { char buf[136]; // [esp+0h] [ebp-88h] BYREF system("echo
攻防世界(pwn)---level0
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 1909
攻防世界(pwn)level0 文章目录攻防世界(pwn)---level0目描述基本情况分析运行分析IDA 分析分析出payloadexp 目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.Stack: Canary found 表示不能直接用溢
攻防世界pwn新手练习(level2
BurYiA的博客
12-24 809
level2 可以看到上已经有提示了(ROP) 我们看一下程序的保护状态和它的运行情况 开了NX,问不大。运行可以发现有一个输入点 放IDA里看看 在字符串窗口可以发现有system和**/bin/sh** 这就很舒服了呀,再结合一下目给的提示,构造ROP链就行 1 1 ...
攻防世界PWN-level2
Deeeelete的博客
11-13 1277
目:level2 开PE看信息,进checksec看详情 进checksec,查看到程序无PIE,堆栈不可执行,无栈保护 跑一遍逻辑,还是hello word 于是开32位IDA查看 f5main函数 看源码,主要就是echo了一个hello world,同时很明显上方有一个显眼的脆弱函数 双击进入脆弱函数查看 单独摘出源码 ssize_t vulnerable_function() { char buf; // [sp+0h] [bp-88h]@1 system("ec
攻防世界 pwn新手 level2
kwist_jay的博客
06-14 561
这里我们先下载附件,查看一下文件信息: 32位的i386程序,这里我们用IDA32打开,查看main函数的伪代码 顺藤摸瓜找到输入点buf: 这里我们查看buf的栈结构,他只用了0x88字节但是给了100字节的输入空间,明显的栈溢出 最后两位的返回值s是一个4字节的数组,r为程序返回的地址,就是我们要操作的东西 初步的payload可以定为 'a'*0x88+'aaaa'+..... 我们再往下看,做pwn一般就是找到system函数然后运行自己的命令,所以我们找到了_sy...
攻防世界 - pwn - level2
qq726232111的博客
03-16 294
A、程序分析 1、使用了system() 2、read() -> 缓冲区溢出 3、 程序包含/bin/sh命令 B、利用分析 1、read(0,ebp-88h) --> payload ebp-88h --- ebp-1h (88hbyte 填充数据) ebp --- ebp+3h (4byte 填充...
攻防世界pwn——level3
qq_62076255的博客
11-05 887
攻防世界pwn——level3
攻防世界pwn新手练习区——level0
smsyz2019的博客
10-31 1778
这是一个简单的利用栈溢出漏洞进行简单的ROP 下载附件,将程序放进虚拟机中 拿到程序首先检查程序开启了什么保护,输入 checksec 程序名称 checksec level0 可以看到这是一个64位程序,只开启了NX保护。NX保护简单来说就是代码不可执行。 例如你向栈上输入一段shellcode,那么NX保护就是防止这个shellcode的执行。 具体内容和其他的程序保护可以参考这个博客。l...
攻防世界pwn新手wp(通俗易懂)
njh18790816639的博客
03-10 2248
get_shell 这道先看看附件,探查一下信息,再用ida打开,就可以发现伪代码其实很简单的: 然后在远程连接这个端口进行攻击了。 并且我们能看到它的大致防护信息,然后来个脚本: 此时就可以进行攻击了。 这样子flag就拿到了。 CGfsb 刚开始先在windows里进行一番静态调试: 大概的知道了一些漏洞,和一点信息,我们就可以进行破解了。 ...
攻防世界 Pwn level2
MrTreebook的博客
07-16 653
攻防世界pwn level2 1.file 和 checksec 先走一遍 是一个32位的文件 看到 RELRO的状态是 Partial 2.放进IDA32看一下 有一个system函数 进入vulnerable_function看一下 buf可以溢出 进入栈空间看看 136byte的buf再加上4byte的数据溢出返回system的地址 本开始前就提示我们用ROP 现在去plt表上暴露system的地址 3.编写exp 先构造paylod system_plt = elf.plt["syst
攻防世界pwn level2
2401_83086823的博客
09-23 519
想要溢出buf,就要0x88-0x00+0x04个字节,溢出部分为实现system函数,system(command)的command为/bin/sh,即可拿到shell.2.system返回值为四个字节,为了堆栈平衡,填上四个垃圾字符,再到/bin/sh地址。进入vulnerable_function(这个名字其实就给了提示)buf大小为0x88,read范围为0x100,存在溢出漏洞。查看字符串,看到了system,/bin/sh.1.buf溢出写入system地址。
[攻防世界 pwn]——level2
Y_peak的博客
02-18 358
[攻防世界 pwn]——level2 目地址: https://adworld.xctf.org.cn/ 目: 32位程序 IDA中, 找到system和 ‘/bin/sh’ 地址进行覆盖 exploit from pwn import * p = remote("111.200.241.244",55083) system_addr = 0x0804845C binsh = 0x0804A024 payload = 'a' * (0x88 + 0x4) + p32(system_addr
攻防世界pwn pwn_level2
qq_44370676的博客
08-14 413
首先下下来的文件查壳以及查保护机制
攻防世界 pwn 新手练习区 level2
ChaoYue_miku的博客
07-05 1102
目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’ ** 0、使用file命令查看文件类型,使用checksec查看保护情况,尝试打开文件 ** 32位ELF文件,开启了NX保护和部分地址随机化 (其实checksec就有包含了file的功能) ** 1、使用IDA32 Pro打开文件 ** 目描述中有提示:面向返回的编程(ROP),所以就要寻找并构造ROP链。 首先查看main()函数 发现有一个vulnerable_function()函数,点进去看一下
攻防世界_pwn_level2(萌新版)
TedLau的博客
02-24 2548
首发于鄙人博客:传送门 0x00 前言 32位,NX enabled 0x10 步骤 0x11 main函数 很明显我们需要去查看vulnerable函数。 0x12 vulnerable函数 在这里我们需要向目中输入若干内容,又观察到buf的长度为0x88,那么我们便可以构造出0x88长度的无关数据,然后再输入4个长度的垃圾数据以覆盖ebp,然...
攻防世界pwn-level2
a_silly_coder的博客
01-14 357
下载文件后,首先查看保护 将文件拖入ida 32位,发现函数名明示了攻击点 点进vulnerable_function函数后,发现buf距离ebp有0x88的距离,但是可以读入0x100的大小,确定这是一道栈溢出的目,溢出点就在此处。 确定溢出点后,开始寻找利用方式,发现代码中给出了system函数,在0x8048320的位置 随后寻找sh或者bin_sh字符串: 此时要素齐全,开始编写脚本。 设计栈的结构为: 脚本为: 发送脚本,开始攻击: ...
【愚公系列】2022年01月 攻防世界-简单-PWN-002(level2)
热门推荐
时光隧道
01-18 3万+
文章目录一、level2二、答步骤1.获取在线场景2.查壳3.IDA总结 一、level2 目链接:https://adworld.xctf.org.cn/task/task_list?type=pwn&number=2&grade=0 二、答步骤 1.获取在线场景 2.查壳 对下载文件进行查壳,命令如下 file level2 checksec --file=level2 分析文件,小端程序(LSB),栈不可执行。 3.IDA 使用IDA对文件进行反汇编 第一步:首先找到ma
攻防世界-pwn 新手练习区
hanqdi_的博客
02-24 2686
when_the_your_born 要求v5=1926即可得到flag,而根据程序,v5只要等于1926就进入不了这个分支,也就是说,我们输入的v5不能等于1926。 这里可以利用gets函数的输入v4,来覆盖v5。 v4:ebp-0x20 v5:ebp-0x18 v4和v5相差0x08,即在输入v4时,先输入0x08个垃圾数据,在输入1926即可实现覆盖。 payload如下 from pw...
攻防世界新手练习_PWN(漏洞利用)
菜鸟-传奇
08-26 572
攻防世界新手练习_PWN(漏洞利用)
攻防世界pwnhello pwn答案
最新发布
09-24
攻防世界pwnhello pwn有多份解代码可作为答案参考: - 代码一: ```python from pwn import * # io = process("./hello_pwn") io = remote("111.200.241.244",65258) io.recvuntil("lets get helloworld for bof...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值