xctf-pwn新手区 【第一题】

最新推荐文章于 2023-07-05 22:07:48 发布
最新推荐文章于 2023-07-05 22:07:48 发布
阅读量2.7k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: xctf-pwn区 pwn入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zjjcxy_long/article/details/108699824
前言

书本知识学的差不多了,是时候不看题解来自己做题了(雾)

正文

在这里插入图片描述

攻防世界新手区pwn第一题——level2

下过来附件就一个,没有libc可以连,应该是很适合萌新的

先用虚拟机checksec 看保护,顺便连一下看看

在这里插入图片描述

感动,32位小端序,保护只开了一个NX

在这里插入图片描述

好像输入什么都会返回123
打开ida反汇编看看
在这里插入图片描述

有这么多函数,从main入手

在这里插入图片描述

已经有一点汇编基础了,勉强能看懂。

但还是F5查看伪代码看的爽快
在这里插入图片描述

双击第一个函数进去看看

在这里插入图片描述

这里已经可以看到是一个简单的栈溢出了。因为定义buf是0x88个字节,我们却可以read入0x100个字节,那么可以利用多出的字节把ebp,ret覆盖掉

双击buf

在这里插入图片描述

然后往下拉过属于buf自己的0x88个字节

在这里插入图片描述

这里的s就是ebp的长度,因为是32位,所以有4字节,然后r就是返回地址,也是4字节

这里已经有思路了,现在只要知道ret到哪里可以得到shell就行

刚才main函数里有个system很是敏感
在这里插入图片描述

双击进去,然后找到起始位置

在这里插入图片描述

然后搜索下bin/sh,真的有
在这里插入图片描述

开始写exp

首先from pwn import * 调用pwntools库

然后dog = remote(’ 220.249.52.133’,33973)连接
system = 0x08048320
bin/sh地址 binshaddr = 0x0804A024
按照之前的,先用88个a填满,然后再来4个覆盖ebp,之后用p32(“system”)覆盖掉ret返回的值,之所以加p32是为了转化成小端序。ret了system之后,需要构造system函数的栈帧。
让我们回想一下函数调用栈的时候是如何调用栈帧的:先压入ebp,然后再把参数压进去。所以我们继续构造上 ‘aaaa’ 填补地址,然后就是传参,当然要给system函数传它最爱吃的bin/sh啦,加上p32(binshaddr)

最终构造出
payload = ‘a’ *(0x88+0x04) + p32(system) + ‘aaaa’ + p32(binshaddr)

发送dog.send(payload)

交互dog.interactive()

在这里插入图片描述

pwn-新手练习
song_10的博客
09-26 395
when did you born 直接在IDA中分析,查看主逻辑: 主逻辑不复杂,程序有两处输入,注意力集中在后一个输入,第二次输入时,只要覆盖v5的值,使其等于1926就能获取flag。 其中,var_20对应变量v4,var_18对应变量v5,构造payload覆盖v5的值,获取flag: hello pwn 同样的,放入IDA分析主逻辑: 程序逻辑简单,而且函数s...
get-shell [XCTF-PWN]CTF writeup系列1
重新启程
12-19 2022
因为做vulhub靶场Serial2,在最后一步用到了rop技术,所以就顺便把自己学习pwn的过程做下记录。 今天做的ctf目是pwn新手训练场的第一get-shell。 首先我们点击获取在线场景 然后我们就可以看到,这个目给我们提供了一个服务器端口,我们可以通过telnet连接这个端口 我们可以看到 这个端口是可以直接连接的,这道目,因为没有回显文件,所以就看不到什么...
XCTF攻防世界Web新手入门WP
A1andNS's Blog
11-09 846
学习的小笔记
xctf pwn 新手练习总结
neuisf的博客
01-21 854
所谓总结,就是再做一遍!以达到熟能生巧之境界! 0x01 level0 解思路: ret2text 1.checksec ,文件为amd64位格式,进开启可NX; 2.IDA Pro F5反编译,main程序调用vulnerable_function,vulnerable_function中调用read读取用户输入,存在缓冲溢出; 3.程序代码中由callsystem函数,运行systerm...
xctf高手进阶第一
neuisf的博客
01-23 252
首先,fgets读取v13,然后scanf读取v2,通过程序条件判断发现,输入a@a.aaaaaaa时,程序会执行到v12,覆盖v12即可调用指定地址的函数。 在做时,进入误,自己构造system栈帧,结果一直失败,可能有的地方计算错误。writeup里的方法是直接调用后门函数0x80486cc处的函数,直接输出flag。这个后门函数在IDA Pro中没有显示,可以通过objdump -d ....
攻防世界-pwn 新手练习
hanqdi_的博客
02-24 2603
when_the_your_born 要求v5=1926即可得到flag,而根据程序,v5只要等于1926就进入不了这个分支,也就是说,我们输入的v5不能等于1926。 这里可以利用gets函数的输入v4,来覆盖v5。 v4:ebp-0x20 v5:ebp-0x18 v4和v5相差0x08,即在输入v4时,先输入0x08个垃圾数据,在输入1926即可实现覆盖。 payload如下 from pw...
xctf攻防世界pwn基础解(新手食用)
热门推荐
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的算是做pwn的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
攻防世界XCTF新手pwn
weixin_45948183的博客
03-24 756
0x00get_shell 第一个比较简单,直接看IDA里面的源码,da进入main函数查看,有system和bin/sh 直接nc连接就可以拿到flag 0x01CGfsb 先看一下保护机制 IDA里面看一下 可以看出当pwnme=8,就可以拿到flag,然后怎么使pwnme=8呢? 可以看出printf哪里存在格式化字符漏洞,由于printf()函数使用不当,造成任意内存读写,通常使用%...
XCTF hello_pwn
weixin_45643931的博客
11-14 2557
第一目通过EXP脚本连接上就出现了flag,懒得写WP 这个目是XCTF的第二个,也是我接触的第一个正式的pwn目 直接下载附件 之后用IDA打开 打开以后,也不是很确定干啥,就直接ALT+T (搜索) 搜索CTF,flag之类的 之后就搜到了CTF的一句话 双击进去 然后按下F5 查看伪代码 而这里的if语句告诉了我们很多信息,如果XXX,就OOO双击函数进去 分析一下,应该是当…6C = 1853186401 时进入…0686()函数获得flag。 而这两个数据相差4个字节,更方便通过
pwn】攻防世界 pwn新手wp
woodwhale的博客
08-10 7365
pwn】攻防世界 pwn新手wp 前言 这几天恶补pwn的各种知识点,然后看了看攻防世界的pwn新手没有堆(堆才刚刚开始看),所以就花了一晚上的时间把新手的10给写完了。 1、get_shell 送分,连接上去就是/bin/sh 不过不知道为啥我的nc连接不上。。。 还是用pwntool的remote连接的 from pwn import * io = remote("111.200.241.244", 64209) io.interactive() 2、hello pwn 可以看
level0 -- 攻防世界新手
01-19
来自攻防世界的pwn,是一道简单的新手样本目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问。漏洞利用问解决链接:https://blog.youkuaiyun.com/A951860555/article/details/112849849
XCTF web新手练习_1-12
H4ppyD0g的博客
07-15 2575
view_source 查看网页源码的方法: (1) F12(如果只按F12没反应,就功能键+F12)可以查看网页源码。 (2) 网页源码的url以view-source: 开头。在本网页的url前面加上这个可以获取。 (3) 通过python的requests.get()可以获取网页源码。 ———————————— get_post ...
攻防世界杂项新手
nzw1134864657的博客
08-05 664
1.give_you_flag 下载附件得到一个GIF动图 用stegsolve逐帧查看,发现一个残缺的二维码 从网上找一个二维码,对比发现三个角处少了小方块 用ps给原图p上小方块,形成一个完整的二维码,扫一扫即可得到flag 2. ...
攻防世界pwn第一
Greic的博客
11-26 2291
emmmmm,本人是一只刚刚学pwn的菜鸟(看写的目也知道),这也算是自己第一次写pwn吧,想保持一下,因此便有了此篇博客。话不多说,我们开始。 首先创建生成模拟环境,下载附件。 查看保护类型(什么都没有,233333) 习惯性拖进IDA看看,由于汇编才刚刚开始,所以还是按F5看C语言源代码算了。然后,果然,运行就能给flag 最后链接靶机???(不知道叫啥,就叫这个算了),然后就这样出来了,就是要稍微注意一下,链接的时候需要把55775前面的:去掉。 好啦,就这样写完了,...
闭关学pwn第四天——掌握pwn中需要了解的汇编指令(对第一天栈做相应补充)
mid2dog
08-17 978
前言 pwn现在卡死在ret2libc,知道是返回,却不懂怎么返回,也不知道怎么搞到shellcode,估计是没有相应基础,所以这回补一波pwn中需要掌握的汇编指令。 ——————————————————————————————————— 一 、开天辟地 没错我就是来开天辟地的。 首先…… move push add 这些基础指令肯定要看看的吖 不过pwn里好像需要用到的是这些指令: 子程序 算术...
攻防世界pwn新手-level3
weixin_62621015的博客
04-17 1504
攻防世界pwn-level3详细解。
新手pwn
m0_74736832的博客
07-05 1777
攻击者可以使用格式化字符串的特性,将一个特定的值写入到可以修改canary的位置上,从而绕过检测。它是C语言中的标准函数库,提供了各种基础函数和数据类型的定义,以及多个常用功能的实现。弹出时的数据顺序:由于栈的"先进后出"原则,"pop"指令弹出的数据顺序与它们被"push"到栈中的顺序相反。当使用"pop"指令弹出数据时,栈指针会自动向下移动,指向新的栈顶位置。x86架构(如Intel和AMD处理器)中的"pop"指令:在x86汇编语言中,"pop"指令用于将栈顶的数据弹出并存储到目标操作数中。
攻防世界hello pwn WP(pwn入门基础
m0_62584974的博客
11-21 2616
攻防世界hello pwn WP(pwn入门基础)的简单讲解
二、从零开始学逆向之XCTF-logmein
nini_boom的博客
07-03 700
点明主,这道涉及到算法。 使用exeinfo了解是linux64位文件,使用IDA打开。 主要逻辑部分在于 v4 = (unsigned int)(char)(*((_BYTE *)&v8 + i % v7) ^ v9[i]); 调到sub_4007F0()就算赢。 OK,既然是C语言写的算法,推荐C语言来解。 这里的IDA出现的_DWORD、可以不用管,十分底层的姿势,你就认为是普通unsign int就可以了。 _BYTE可以用unsign char来代替。 写代码这回事,多写就能懂
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值