西湖论剑——pwn

最新推荐文章于 2025-02-10 17:24:31 发布

原创

最新推荐文章于 2025-02-10 17:24:31 发布 · 627 阅读

1 ·

CC 4.0 BY-SA版权

本文介绍了如何通过pwn技术解决一道具有canary保护的题目。利用printf的格式化字符串漏洞泄露canary，再通过puts函数地址泄露找到libc库，进一步获取system和/bin/sh的地址，最终实现权限获取。通过构造payload并利用在线工具找到特定函数地址，成功完成挑战。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

pwn

在这里插入图片描述
这道题目开了canary，和之前的套路相似，就是要泄露canary，利用栈溢出找到system和/bin/sh，拿到访问权限
看一下函数

在这里插入图片描述
printf存在格式化字符串漏洞可以用于泄漏canary

p.sendlineafter("ID:","%15$p") #不解释了这个要打印的是第十五个参数，也就是canary的值
p.recvuntil("Hello ")#输出hello之后
s=int(p.recvuntil("00"),16)canary的值
print hex(s)#把它打印出来

然后因为里面system和/bin/sh，想要找到，就要找到libc库，要找libc库就可以想办法泄漏某个函数地址

我在这里学到的是一般泄露puts函数

p.sendlineafter("Tell me

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Xuan～

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

190407 逆向-西湖论剑杯

whklhhhh的博客

04-08

3万+

Re1-easyCpp IDA打开发现一大堆模板很丑，但仔细看一下其实只有一堆变量来回操作而已基本上就是各种STL和vector的用法，算法名都保留下来了所以难度下降很多基本流程是接收输入、生成斐波那契数列的十六项然后对输入依次使用transform和accumulate算法分别是遍历vector中的一元运算和二元运算运算都是自定义的方法，双击算法进去可以看到lambda函数 tra...

新Bugku——瑞士军刀——pwn

2301_77163106的博客

08-20

639

我们可以很清楚看到有flag文件，进行抓取使用命令cat 相应文件--->cat flag，得到flag。回车并输入查找命令ls（可以了解一些其他的==>接下来我们只要访问他就行了打开kali进入终端。进入终端窗口输入 nc ip 端口。点击进入（也可以点击鼠标右键）题目给我们 nc ip 端口。

参与评论您还未登录，请先登录后发表或查看评论

西湖论剑2020 pwn mmutag wp

weixin_45677731的博客

10-11

548

拿到题目，给了libc库，太可了，爱了爱了开局malloc(0x68)输入姓名，这个0x68给人一种熟悉的感觉程序会顺便输出保存着chunk指针的栈地址，暂时没发现有什么吊用 heap的部分，只有malloc和free的功能并且固定申请0x68的chunk free这里，出现了经典的free之后未置0 而且还刚好是0x68的chunk 常见做法就是double free后劫持malloc_hook 然后就是泄露libc基地址始终没找到什么好办法，泄露出来的栈地址看似也无法得到libc_base

2021 西湖论剑 pwn blind

yongbaoii的博客

03-26

666

利用ret2csu，覆盖alarm的got表最低一字节，通过爆破劫持alarm为syscall。通过read函数的返回值让rax为0x5b，执行execve("/bin/sh", 0, 0) exp #/usr/env/bin python from pwn import * import time context.log_level = "debug" gadget1 = 0x4007ba gadget2 = 0x4007a0 elf = ELF('./blind') read_got = el.

2020 西湖论剑 pwn noleakfmt

yongbaoii的博客

03-29

784

canary没开，方便溢出。主逻辑简单。格式化字符串漏洞。给了我们一个栈地址，但是主要问题是把标准输出关掉了。我们要利用的呢就是将_IO_2_1_stdout_的_fileno从1改成2，为啥呢？对于一个FILE结构体来说，最重要的就是_flags和_fileno，_fileno存储的是我们的文件描述符，对于某些情况或许我们要劫持_fileno才能达到我们的目的，而_flags则标志了该FILE的一些行为，这对于我们的泄露至关重要。我们想办法劫持结构体的_fileno之后就可以从标准错误做一.

pwn-2019西湖论剑之story

CharlesGodX的博客

04-09

832

0x00：前言这道题是64位程序，涉及到canary绕过，格式化字符串漏洞，是一道非常好的练习题 0x01：题目思路首先检查保护，可以看到有堆栈不可执行和canary保护 Thunder_J@Thunder_J-virtual-machine:~/桌面$ checksec story [*] '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/story' ...

2025 西湖论剑 WP Pwn

最新发布

03-13

### 2025年西湖论剑WP Pwn比赛详情及相关信息 #### 比赛背景 2025年的第八届西湖论剑网络安全技能大赛中的Pwn部分，作为一项高水平的技术竞赛吸引了众多安全研究者和技术爱好者参与[^1]。该赛事主要考察选手在二...

2025西湖论剑 wp pwn

03-13

目前尚未有针对2025年西湖论剑活动的具体信息或技术解析公开发布。然而，基于以往的比赛内容和技术细节，可以推测未来比赛中WP类别的Pwn项目可能会延续并深化某些关键技术点。 ### 关键技术趋势预测 #### 1. 堆...

CTF——PWN——栈溢出（1.woof）

qq_45215609的博客

09-10

626

CTF——PWN——栈溢出（1.woof）

[Pwn] Writeup - 2025西湖论剑 - Pwn

Lufiende的博客

02-10

132

西湖论剑2025 Pwn 方向 WriteUp

2019 安恒周周练西湖论剑特别版 pwn 题目wp

abc380620175的博客

03-28

611

pwn1 考点：构造 shellcode，patch 汇编指令 IDA 查看反汇编，程序的逻辑很简单如，如果直接 f5 的话 IDA 可能识别不出来函数，问题出在 0x080484CF 这个地方，call eax 指令识别不出来，所以这里可以先 patch 成 nop，之后 f5 就正常了。程序把输入当成 shellcode 直接来执行，很显然是直接往栈上写 shellcode ...

2022西湖论剑pwn部分wp

N1rvana的博客

02-05

1031

西湖论剑2022pwn

CTF西湖论剑

weixin_33845477的博客

03-31

241

一，西湖论剑 itoa()函数有3个参数：第一个参数是要转换的数字，第二个参数是要写入转换结果的目标字符串，第三个参数是转移数字时所用的基数。在上例中，转换基数为10。10：十进制；2：二进制... memset是计算机中C/C++语言初始化函数。作用是将某一块内存中的内容全部设置为指定的值，这个函数通常为新申请的内存做初始化工作。 flag就是 123_Buff3r_0v3rf|0...

西湖论剑 2023 比赛复现

shinygod的博客

02-11

1506

在copy 路由会检验 ip 地址是否为 127.0.0.1，且请求体不能有__proto__。在 curl 路由中我们可以用http 请求走私来访问 copy 从而可以绕过 copy 路由里面的 ip 检测，然后利用constructor.prototype 替代__proto__，最后打ejs就行了。

西湖论剑 pwn题解析（持续更新中）

qq_41071646的博客

04-12

1114

这篇文章是我在我志琦哥我们工作室负责人旁边我俩上数据库课我看着他一步一步搞出来的太强了不过现在应该还在和我一样自闭中。。。这个题有 canary 保护然后这个题思路就是找到 canary的偏移然后泄露libc 库然后获取 system 地址 x64 要找 pop 这里获取到 puts函数的地址但是这个题并没...

西湖论剑逆向

qq_41071646的博客

04-09

602

其实可以石锤我是标题党了哈哈哈其实这个我也很尴尬 ·~ 没有题目没办法好好的去做一下题但是听说安恒会有复现复现的时候能够好好做也是极好的然后先说一下这个题题目其实是在https://www.52pojie.cn/thread-924174-1-1.html这个链接下载的多谢师傅的分享其实 testre 这个题很简单的一个题就是怎...

2023西湖论剑--messageboard

m0_61948538的博客

03-03

390

沙箱&栈迁移

2019西湖论剑Storm_note