0x00:查看文件 一个32位的文件,canary.NX.PIE保护机制均关闭. 0x01:用IDA进行静态分析 程序很简单,输入一串字符(个数限制:512),然后再输出.最后根据key变量进行条件语句执行. 在imagemagic函数中用printf(format)进行输出,大概率有格式化字符串漏洞.因为key的地址在bss段:0x0804A048,所以试试用格式化字符串漏洞进行覆盖. 检测一下是否可以对随意地址进行覆盖: 有重复的,位于第12个参数.重复的原因是因为s是定义在了栈上. pay

[pwn]攻防世界 pwn新手区wp 前言 这几天恶补pwn的各种知识点,然后看了看攻防世界的pwn新手区没有堆题(堆才刚刚开始看),所以就花了一晚上的时间把新手区的10题给写完了. 1.get_shell 送分题,连接上去就是/bin/sh 不过不知道为啥我的nc连接不上... 还是用pwntool的remote连接的 from pwn import * io = remote("111.200.241.244", 64209) io.interactive() 2.hello pw

攻防世界PWN简单题 level0 开始考验栈溢出的相关知识了 Checksec 一下文件 看看都开了什么保护 和 是多少位的程序 发现是64位的程序, 扔进IDA64.IDA YYDS.. 进入主函数,通过伪代码分析逻辑,找出栈溢出漏洞 找到了栈溢出漏洞,开始寻找攻击手段. 找到了攻击手段.简单题就是如此简单.找一下callsystem地址,当然也可以直接用pwntools获取 找到了需要的地址0X400596 开始写exp攻击远程服务器 from pwn import * io = remo

攻防世界PWN简单题 level2 此题考验的是对ROP链攻击的基础 万事开头PWN第一步checksec 一下 32位的小端程序,扔进IDA 进入函数,找出栈溢出漏洞. 又是这个位置的栈溢出,read的0x100,buf的0x88,根据提示,寻找构建ROP链的攻击 直接就找到了system和/bin/sh,开始写exp from pwn import * io = remote('111.200.241.244',56855) #连接远程 elf = ELF('./1ab77c073b4f45

攻防世界 -- pwn1 攻防世界的一道pwn题,也有一段时间没有做pwn了,找了一道栈题热身,发现还是有些生疏了. 题目流程 拖入IDA中,题目流程如图所示,当v0为1时,存在栈溢出漏洞.在gdb中检查题目的保护. 解题思路 程序没有开PIE,但是有Canary,所以首先要infoleak,泄露出Canary.泄露出Canary之后,可以通过ret2Onegadget的方法来getshell,这样的话,还要泄露出一个函数地址,泄露出函数地址之后,通过偏移来计算出libc的基地址,然后计算出On

题目分析 题目提示 checksec检查文件保护机制 使用ida查看伪代码 hello函数存在溢出,与level2类似 信息收集 system地址 name的地址 编写脚本 from pwn import * p = remote('111.198.29.45',42844) #p = process("./pwn006") binsh = "/bin/sh" system = 0x8048420 name = 0x804A080 payload = "A

题目分析 checksec检查文件保护机制 ida分析程序 经典整数溢出漏洞示例 整数溢出原理整数分为有符号和无符号两种类型,有符号数以最高位作为其符号位,即正整数最高位为1,负数为0, 无符号数取值范围为非负数,常见各类型占用字节数如下: 类型 占用字节数 取值范围 Int 4 -2147483648~2147483647 Short int 2 -32768~32767 Long int 4 -2147483648~2147483647 Unsigned int 4 0~4294967295

题目分析 题目提示 下载文件后首先使用checksec检查文件保护机制 使用ida打开,查看伪代码 搜索字符串发现/bash/sh 信息收集 偏移量 system的地址 /bin/sh的地址 编写脚本 from pwn import * p = remote('111.198.29.45',50136) #p = process("./pwn003") binsh = 0x0804A024 system = 0x8048320 payload = "A"*0x88+

题目分析 下载文件后首先使用checksec检查文件保护机制 使用ida查看伪代码 思路明确,让dword_60106C == 1853186401即可输出flag 信息收集 偏移量 sub_400686函数地址 编写脚本 from pwn import * p = remote('111.198.29.45',36884) #p = process("./pwn002") payload = "A"*4 + p64(1853186401) p.sendline(p

题目分析 下载文件后首先使用checksec检查文件保护机制 文件名太长了,就更改了一下 发现是一个64位程序,使用ida查看伪代码 注意到一个特殊的函数名callsystem 确定思路,直接栈溢出 信息收集 确定偏移量 /bin/sh地址 方法1 方法2 编写脚本 from pwn import * p = remote('111.198.29.45',32366) #p = process("./pwn001") system = 0x400596 payload = "

涉及的工具有 Ubuntu 16.04 pwntools IDA gdb-peda 1.get_shell 连接就给flag,可以直接用nc连接,然后输入ls查看里面的目录,发现有名字叫flag文件,cat flag得到flag 以下是常规解法 先看一下程序的位数   为64位的ELF 然后看保护机制 然后用IDA看看,找到main函数,F5查看伪代码 system函数可以直接获得shell ,连接就可以获得get shell from pwn import * r=remote('111.19

题目分析 checksec检查文件保护机制 这个结果看的我满是问号??? \n ida分析程序 是一个猜数字的游戏,需要全部输入正确才能得到flag 根据大佬的wp得出一下内容 先使用srand()进行种子初始化,使用rand()函数,并且10次全部输入正确才可以获得flag. seed为种子,v9为name的变量名,如下图所示:

感觉好久没有水博客了,今天借助这道题来告诉自己做pwn题要多调试!!! 先检查了保护只开启了堆栈不可执行,接下来ida看一下伪代码: 这里可以往buf进行写入,接下来看一下echo函数: 大概意思就是将buf的内容写入s2中,s2距离rbp只有0x10,所以可以进行溢出.这里我刚开始的时候是直接构造的rop,leakbaselibc,但是一直没有回显.后来我又将返回地址写成了start看看能不能让程序再次执行,发现是可以的.后来检查了一下,发现是向s2中赋值的时候,遇到'\x00'就会中断for

0x00:查看文件信息 该文件是32位的,canary和PIE保护机制没开. 0x01:用IDA进行静态分析 总览: 该函数就是:v5初值为1,对v2输入一串字符.然后执行一个会根据输入的字符串而修改v5的循环语句,最后调用相应的函数. 同时,发现文件里面已经含有cat flag的函数: 函数snprintf介绍: printf("cat %s", "./flag")是将cat ./flag输出到屏幕上. snprintf(s, 0x32, "cat %s

0x00:查看文件信息 一个64位二进制文件,canary和PIE保护机制没开. 0x01:用IDA进行静态分析 分析:主程序部分是一个while循环,判断条件是read返回值大于0则循环.函数atoi()是将一个字符串转换成整型数据,看栗子: 这样子v7可以由我们所决定,所以很明显第15行存在栈溢出. 个人想法: 看到程序有一堆输入输出函数,我首先想到的是ret2libc3.在尝试的过程中发现无论如何都跳不出while循环,使用io=send('')不可以.思考无果,上网找WP.在海师傅的文章

Crib dragging attack 在开始了解 Crib dragging attack 之前,先来理一理 异或. 异或加密 [详情请戳这里] XOR 加密简介 异或加密特性: ① 两个值相同时,返回false,否则返回true . ② 如果对一个值连续做两次 XOR,会返回这个值本身. ③ 加密应用: 假设原始信息是message,密钥是key,第一次 XOR 会得到加密文本cipherText.对方拿到以后,再用key做一次 XOR 运算,就会还原得到message. ④ 一次性密码本

RSA256 [攻防世界] 题目链接 [RSA256] 下载附件得到两个文件. 猜测第一个 txt 文件 可能为RSA加密密文 ,第二个估计就是密钥.依次打开看看: 果然如此. 目标: 寻找 n.e.q.p 利用 openssl 查看 e 打开 kali ,利用 openssl 工具 输入以下命令: openssl rsa -pubin -text -modulus -in gy.key 得到: e: 65537 (0x10001) 常见 openssl rsa 命令 如下: openssl r

Poem Codes Poem Code 最显著的特点就是一首诗歌. 详情请戳这里 让我们一起来过滤一遍这个神奇的加密过程~ ① 给出一首诗歌 for my purpose holds to sail beyond the sunset, and the baths of all the western stars until I die. ② 给出5个关键单词. "for", "sail", "all", "stars",

长期更新一波 攻防世界 的杂项题解 这东西主要靠积累吧 攻防世界:https://adworld.xctf.org.cn 因为攻防世界的题目顺序经常变化,我也不改序号了,顺着之前写的位置往下写,推荐使用 ctrl+F 搜索题目名字来定位 在语雀上建立了一个杂项知识库,收集杂项的知识点:https://www.yuque.com/hxfqg9/tx8y1v/uew75k 新手练习区 1.this_is_flag 题目直接给出了 flag 2.ext3 主要考察 linux 下光盘的挂载 strin

攻防世界welpwn (搬运一篇自己在CSDN写的帖子) 链接:https://blog.csdn.net/weixin_44644249/article/details/113781356 这题主要是考无Libc泄露地址和栈空间控制,在没有Libc的情况下,可以使用LibcSearcher进行动态匹配,匹配完成后会给出选项,选择libc的版本即可.如果不知道版本可以一个个试. 安装LibcSearcher git clone https://github.com/lieanu/LibcSear