welpwn(xctf)

最新推荐文章于 2022-12-05 19:36:31 发布
最新推荐文章于 2022-12-05 19:36:31 发布
阅读量276 收藏
点赞数
分类专栏: # xctf(pwn高手区) CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43868725/article/details/106761106
版权
本文详细介绍了在程序保护和流程下,如何利用x64的gadget泄露write函数地址,通过LibcSearcher找到system函数和/bin/sh字符串地址以获取shell。在实际利用过程中,由于echo函数的栈溢出漏洞存在x00截断问题,导致直接覆盖返回地址不可行。通过分析栈布局,发现可以通过连续pop4次操作,使栈顶指向gadget来执行攻击代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x0 程序保护和流程

保护:

在这里插入图片描述

流程:

main()

在这里插入图片描述

echo()

在这里插入图片描述

echo函数中存在明显的栈溢出漏洞。

0x1 利用过程

使用x64的通用gadget,泄露write函数的地址。使用LibcSearcher查出相应的libc,得到system函数和/bin/sh字符串的地址就可以getshell了。但是理想是丰满的现实是骨感的,exp写完后一直报错。用GDB查看一下core。发现确实覆盖了返回地址但是后面紧接着是输入缓冲区中的数据。回过去看echo函数,发现在写入s2的时候/x00会被截断,这种截断在写入地址的时候无法避免,但是巧合地是输入缓冲区就紧接着echo返回地址。

在这里插入图片描述

如图,0x7fff0048ea90~0x7fff0048eaa0是echo的栈空间,0x7fff0048eab0~0x7fff0048eb48是输入缓冲区。所以如果想要执行gadget只需要连续pop4次的就能使栈顶指向gadget。

在这里插入图片描述

0x2 exp

from pwn import *
from LibcSearcher import *
context.<
最低0.47元/天 解锁文章
XCTF-PWN welpwn
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-16 710
使用LibcSearcher解法 使用GDB动态调试下,发现 0x7fffffffdae0-0x7fffffffdb00是函数是echo的栈帧 0x7fffffffdb00开始就是属于main函数的栈帧 0x7fffffffdb00-0x7fffffffdb08是上一个栈帧的rbp,已经被覆盖 0x7fffffffdb08-0x7fffffffdb0f是retn返回的地址 可以通过4个pop把...
xctf_pwn welpwn writeup
yagamilaido的博客
05-16 536
xctf_pwn3 welpwn 文章目录xctf_pwn3 welpwn程序分析exp思路 程序分析 惯例查信息 程序逻辑简单粗暴,读0x400字节(这里无法溢出)。 然后echo中打印,打印前拷贝到16字节数组中,存在栈溢出 3、考虑x86_64下著名万能ROP,一直没怎么用过这次拿来练练手(捂脸) _libc_csu_init 函数下的 pop&call ​ 注意 0x0000000000400880,可知道 r13、r14、r15 分别对应前三个参数,r12保存调用地址的
welpwn [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列24
重新启程
12-27 1314
题目地址:welpwn 本题是高手进阶区的第13题,先看看题目 照例检查一下保护机制 [*] '/ctf/work/python/welpwn/a9ad88f80025427592b35612be5492fd' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found ...
pwn-welpwn
醉等佳人归
09-08 307
1.题目 1.保护机制 开启nx 2.关键代码 主函数 echo函数 2.思路 重点1:可以看到栈溢出漏洞,但是echo函数代码显然限制了ROP链中有\x00的出现,但是我们发现echo函数栈非常小,导出我们溢出可以溢出到主函数的buf缓冲区中,而且主函数的buf是不受\x00影响的,所以我们先使用pop覆盖echo函数的返回值,然后在主函数的buf中执行shellcode 重点2:这次试用了LibcSearcher库来完成函数地址泄漏 from pwn import * from ctypes imp
(攻防世界)(pwn)welpwn
PLpa的博客
07-18 2785
首先,放在最前面:这题服务器远端的libc版本是libc-2.23.so而不是libc-2.19.so的版本(害得我编译半天出不来) 看到题目,我们下载附件,一看是个tar.gz文件,我们解压一下,发现里面有三个文件: 我就心想,这个攻防世界怎么就这么好心这次,以前要给的时候从来不给,这次这么大方???答案是大错特错,这就是个骗局,这个反而是个障碍,版本根本就是错的(但仔细一想,有可能是出题者故...
攻防世界dirs
03-15
- Welpwn[^2] - 描述:研究栈溢出原理以及利用返回地址跳转至特定指令的技术。 - 学习目标:理解堆栈布局及其在程序执行中的作用;学会规避防护机制(如 NX bit 和 ASLR)来实现代码注入。 3. **Deserialization...
[XCTF-pwn] 10-welpwn-rctf-2015
weixin_52640415的博客
02-26 276
很久前的题,主程序里没有溢出,echo里遇0截断这里虽有溢出但也写不了rop,64们0太多了。 思路是,A*0x10+0这样会将rbp的尾部1字节置0,然后在payload尾部写rop,中间补ret int __cdecl main(int argc, const char **argv, const char **envp) { char buf[1024]; // [rsp+0h] [rbp-400h] BYREF write(1, "Welcome to RCTF\n", 0x10uL
[攻防世界]-welpwn
m0_55906008的博客
12-05 684
pwn
ADworld pwn wp - welpwn
fa1c4的blog
06-26 197
输入没有溢出, 但是复制过程出现了溢出点, 0x400复制到0x10中, 所以可以溢出echo函数, 劫持到ROP泄露puts地址, 找到libc版本, 然后ret2libc. 不过尝试之后发现行不通, 因为复制过程遇到截断符’\0’会停止, 所以直接ROP链会复制不完全, pop_rdi_addr本身就包含了’\0’, 所以可以平衡栈后执行ROP, 这里不一定是在复制完返回地址之后马上截断, 但是8字节地址中包含’\0’, 所以一定会截断, 这里覆盖到的地址是buf的前8个字节, 对ROP没影响,...
攻防世界高手进阶区 ——Welpwn
weixin_62675330的博客
03-21 1165
攻防世界高手进阶区 ——Welpwn 分析文件 checksec分析 coke@ubuntu:~/桌面/CTFworkstation/OADW/welpwn$ checksec welpwn [*] '/home/coke/桌面/CTFworkstation/OADW/welpwn/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX e
welpwn pwn 入门题
02-11
pwn 入门题
welpwn::sparkling_heart:CTFpwn框架
02-04
介绍 修剪是一门艺术。 welpwn旨在制作艺术品,使您摆脱数十种毫无意义的工作。 产品特点 自动为您获取那些魔术值。 libc address heap address stack address program address (带有PIE ) canary 支持多glibc调试。 2.19、2.23-2.29 32位和64位 调试增强(支持PIE )。 符号 断点 杂项 libc-database one_gadget 堆? 好吧,不支持堆分析。 但是我有一个给你的礼物。 安装 您有两种使用welpwn 。 通过安装 从0.9.3版本开始已添加setup.py 。
菜鸟做题记--------welpwn(RCTF2015)
Return的博客
02-12 666
1.看下保护发现只打开了NX。 [*] 'home/ctf/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 2.拖入IDA看下结果 int __cdecl main(int argc, const char **argv, const char **e
攻防世界 welpwn
10-07 347
1.题目 2.IDA分析 3.流程分析 流程很简单,输入buf,这里不存在溢出,然后进入echo方法,将buf复制到s2,当遇到\x00就结束。这个条件会导致p64(addr)后面的内容被截断(地址经p64包装后肯定会出现\0x00)。栈结构如下: 也就是说,s2只能复制buf前面32个单元的内容。为了使32位后面的内容得以执行,我们需要在ret位置跳去执行四个pop指令,去掉buf前32位内容(也就是复制到s2里面的这些内容),这样就能连贯执行32位之后的内容了。 所以,..
RCTF 2015 welpwn [ROP] [x64通用gadgets]
ACdream
01-26 838
先checksec一下: 漏洞点其实蛮好找的:程序里也没几个函数 main函数中read了一个字符串,然后当成参数传递给了echo函数 在echo中的函数的接收buffer长度仅仅为0x10,而且是一个一个字符赋值的,栈缓冲区溢出漏洞,0x10 + 0x8 = 0x18个填充 控制了ESP之后,程序开启了NX,一定想到的是ROP 这里的基础知识是: http:/...
welpwn RCTF-2015 攻防世界
qq_41071646的博客
06-03 1710
参考链接 http://www.purpleroc.com/md/2015-11-17@RCTF-Writeup.html 这个题只是没有想到 找到这个点 然后 攻防世界 给的 so库也有问题 感觉 攻防世界的so环境都是 2.23的鸭 然后我就没有用DynELF 其实 可以在服务器看一下 地址 然后根据 后三位来判断是那个 只不过没有 DynELF 方便 思路就是 构造一个 ...
stack2(xctf)
weixin_43868725的博客
05-26 765
0x0 程序保护和流程 保护: 流程: 当选择change number时没有对数组边界进行检查所以可以任意地址写。又在函数列表中发现一个hackhere() 0x1 利用过程 我们只需要通过数组写入这个函数的地址到main函数的返回地址处即可。简单计算一下。 v13这个数组首地址距离返回地址0x70+0x4,发现不行。然后用ida远程调试一下。输入了五个数字分别是1,2,3,4,5。offset=0xFFBDC56C-0xFFBDC4E8=0x84。 远程发现没有bash。 换成system(
攻防世界 welpwn WP
Zarcs_233的博客
01-29 1004
这道题出的确实很wel 拿到这题,查看保护 发现shellcode走不通,一般都是走rop路线 IDA打开,分析代码,发现main函数内调用了echo函数 这里的buf有0x400大,但是main不存在栈溢出,继续点开echo 这里我们发现有一个赋值的过程,但是a1也就是buff有0x400,而s2只有0x10字节。 很明显,复制过程中存在栈溢出,但是我一开始没发现这一点,那就是这个赋值的终止...
【PWN系列】攻防世界pwn进阶区welpwn分析
Vicl1fe的博客
10-11 518
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 分析 下载文件直接拖入ida分析。开了NX保护,一般就是rop 函数代码也比较简单。read那里也不存溢出。都是0x400。 紧接着调用了echo函数。 在echo函数中,将大小为0x400的buf中的值复制给大小为0x10的s2,。很明显会造成溢出。唯一的问题就是,如果Buf中含有\x00。会中断循环。 函数运行的整体流程就是,用户输入的字符串会存放到buf中,在echo函数中,将buf复制到s2时造成了溢出。通过循
XCTF的Three
最新发布
03-21
### XCTF Three 题目解析 关于 XCTF 中与 “Three” 相关的题目或技术细节,虽然当前引用未直接提及具体名为 “Three” 的题目,但从已有的参考资料可以推测可能涉及的内容领域和技术方向。 #### 可能的技术领域 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值