攻防世界 string

最新推荐文章于 2024-07-16 02:03:11 发布
最新推荐文章于 2024-07-16 02:03:11 发布
阅读量1.1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BengDouLove/article/details/105037125
版权

这回终于做上了一道像一个小系统一样的题,有很多输入输出,程序逻辑也复杂了一点,比赛中我看都是这样的题,一直以来遇到这样的题都是不知所措,从这一道开始练手把在这里插入图片描述
这是一个文字版RPG game…
一开始看main函数看不出来什么,注意到输出了secret
在这里插入图片描述
输出secret之后进入另一个函数,将v4的值传了进去
然后让输入名字,这里好像没有溢出,名字长度小于12
在这里插入图片描述

输入名字之后进入三个函数的第一个,开始叙述故事
到了while循环里让输入往东还是往上走,输入east进行下去,输入up死循环。输入别的就退出了
在这里插入图片描述
回到前面,进入第二个函数
让输入1还是0,1的话进入if,之后发现有个格式化字符串漏洞,还不知道怎么用
在这里插入图片描述
看第三个函数
输出一堆然后要让*a1a1[1]才能进入if,而这里的a1就是main函数那个v4,
成功进入if后mmap分配一块内存,mmap的第一个参数是0,看网上说第一个参数是null的话就是随机分配一块合适地址,这里的0估计差不多吧,分配了很大地方之后,read进100,后面有一个 ((void (__fastcall *)(_QWORD, void *))v1)(0LL, v1);,粗略的查了一下就是应该就是一个call函数,调用以v1为指针的函数
那这就可以想到,read输入进一串shellcode,然后他自己就调用了
问题是如何让*a1a1[1],也就是*v4==v4[1]
在这里插入图片描述

回去再看main函数
在这里插入图片描述
v3是一个dword的指针,,然后v3 malloc申请了8个unsign long long 的地方,也就是两个64位int的位置
v4是一个64位int,然后v3(强制转换为了int64格式)的值传给了v4,相当于v4里面存的是第一个64位int的地址
所以后面输出了两个secret就是这两个64位整数的地址

之前的*a1 == a1[1],也就是判断和两个数相当于否

可用的漏洞只有一个格式化字符串,应该把第一个数或者第二个数覆盖为二者中另一个数,在传入shellcode就行了

一.网上很多wp的方法

在这里插入图片描述
网上的方法是利用printf之前的scanf输入地址那一步,把v4地址传进去,之后printf的时候这个参数偏移计算之后就是第7个参数,再通过%c和%n写进去数,这也是这个题目搭好的台阶。
可是我有个疑问:查看栈之后发现scanf("%lld")这样传进去的数是大端存放的,这样也能用于代表地址吗?

二.我的想法是只用printf,把两个地址和格式化字符串函数都放入栈中,再用

偏移找,不过怎么试都不行,所以还是上网找了答案。可能哪里不对吧,如果有明白的请指教。

Bengd0u
关注
攻防世界 新手区string
winterze的博客
04-04 377
0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/string' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 64位,开启了Canary和...
攻防世界String Writeup
只影的博客
03-04 2344
这道题暂且认为是攻防世界pwn新手区比较难的一道题,而难点主要在于读懂题目,读懂后就比较简单了。 查看程序的防御机制,发现除了PIE全开。从题目string可猜测,应该是个格式化字符串的漏洞。可以在Linux中先将程序跑一遍,对程序的流程和分支有个大概了解,本题是个简单的D&D类型的游戏题目。 用ida对程序进行分析,顺着程序的流程走,可以看到在sub_400BB9中有printf(&am...
[PWN](攻防世界)string
ljh15937的博客
09-21 1227
分析程序漏洞 了解程序的基本信息 64位小端序 开启了 Canary 保护,栈不可执行,未开启 PIE, 使用 IDA Pro 进行静态分析,由于该程序的执行流较为复杂,需要花些时间理清程序的具体执行流程 使用 GDB 进行动态调试,设置断点执行到 printf(&format, &format);,可以发现输入的地址 0xa98ac7 在栈顶的第二个8字节,根据64位程序的传参方式,该地址是格式化字符串的第 7 个参数,printf() 函数的第 8 个参数。
攻防世界string
qq_25044201的博客
12-30 190
这道题是我在新手区见到的最难的一道题,涉及了格式化字符串,shellcode注入,最难的还是这个过程。繁杂,琐屑。 这句是最关键的,创建个内存然后作为指针函数。这里注入shellcode就可以。但是有个前提a[0]=a[1]我们要通过格式化字符串修改a[0]=85使得a[0]=a[1] ...
攻防世界 pwn string
N1rvana的博客
11-15 4095
攻防世界string应该是新手区数一数二的难题,难点在理解程序流程。 先观察主函数: alarm函数 什么是alarm函数? 如上图所示,在做一些pwn题的时候,我们有时会遇到alarm(0x3Cu)函数。alarm函数中的参数0x3Cu是十六进制无符号数,即十进制对应60,所以该函数的作用是在程序运行60秒后,给进程发送SIGALRM信号,如果不另编写程序接受处理此信号,则默认结束此程序。 为什么要使用alarm函数? 一是比赛中常要远程连接服务器解题,官方不希望有队伍长时间解不出来题浪费服务器资源 二
格式化字符串任意地址写入、函数指针执行shellcode——攻防世界string复现及知识点简述
独沐晨霖
08-24 1183
文章目录原题复现——攻防世界string漏洞分析攻击思路exp要注意的小细节 原题复现——攻防世界string 漏洞分析 题目去除了符号表,简单分析即可还原函数功能,用ida改名即可 先进行基础检查,是64位程序,未开启PIE main函数中会给出v3[0]和v3[1]的地址 游戏开始需要输入角色名称,无利用点 go_east函数,没有可以利用的地方,必须输east才能继续游戏 许愿函数,读入用户输入地址以及format,可以结合main函数给我们的地址进行任意地址写利用 .
攻防世界pwn-string
a_silly_coder的博客
05-18 346
首先检查保护 将文件拖入64位ida 查看代码逻辑,发现这个代码有些复杂,但是大多数都是无效信息,很多输入都是指引程序进行的,扰乱我们的视线。 关键信息有:v3v4的数值地址都给出来了,然后查看sub_400D72函数 这里首先输入一个name,这是干扰输入,只要不超过0xC的长度即可。然后sub_400A7D也是干扰输入,只需要跟着代码输入就可以了。接着查看sub_400BB9与sub_400CA6 sub_400BB9这里很显然是有一个格式化字符串漏洞。 接着看s...
攻防世界web
热门推荐
kid的博客
05-23 2万+
攻防世界web 前言 准备ctf比赛,这里把攻防世界分值低于5分的基本刷了一遍(分值再高刷不动了…) 练习 view_source 没难度知识禁用了右键点击,ctrl+u查看源码拿到flag get_post 这题没什么好说的,按着提示来就能拿flag 但我发现下面的hackbar不能用后用burp来进行post传参不返回flag…迷了我很久… 结果我下了左边那个hackbar后重来一...
攻防世界no-string-attached
m0_46708089的博客
05-10 1285
四处看wp linux下gdb 教程:https://blog.csdn.net/qq_40663734/article/details/89647483 想起来之前安了gdb的虚拟机被我删了。 然后今天发现centos8虽然不支持把本机的文件直接拖拽到桌面,但是其他地方可以直接拖拽复制粘贴。之前还以为是vmtools没安装好还是功能被阉割的之类的问题。 安装gdb经验 报错: bash: rpm:未找到命令 解决: apt-get install rpm 安装gdb记录 教程:https://blog
攻防世界STRing
WangLal的博客
07-06 336
攻防世界PWN String的WP 基本的三步checksec,file,执行文件 这是一个64位文件,只有pIE没开。 由string这个题目猜测可能会是字符串漏洞 将下载好的附件扔进IDA里查看,点击main函数 main函数中找不到,那就在其他函数看一下。 点击 sub_400D72 要进入if条件中,输入的s的长度需小于12位 在sub_400BB9函数中看到了 printf前几句中存在%s与%ld,可以操作. 继续看下一个函数 (a1+4是指a1加4个字节,也就是一个整数类型所以这个就是a
[攻防世界]string
逆向萌新的博客
06-20 216
[攻防世界]string详解
攻防世界新手区—string
hanabi_sh
10-15 569
攻防世界string,格式化字符漏洞
攻防世界-string-Writeup
SkYe's Blog
05-15 525
string [collapse title=“展开查看详情” status=“false”] 考点:格式化字符串任意地址写小数 题目前面有几个条件循环绕过,反编译就能看出,不再赘述。看漏洞函数: unsigned __int64 sub_400BB9() { int v1; // [rsp+4h] [rbp-7Ch] __int64 v2; // [rsp+8h] [rbp-78h] char format; // [rsp+10h] [rbp-70h] unsigned __int64
攻防世界 string WP
Casuall的博客
07-28 1295
检查文件类型(file命令),检查安全措施(checksec命令)就不多说了,只有PIE没有开。 首先查看一下main函数,有一个sub_400996函数,这个函数就是负责打印一些信息。然后通过malloc申请了8个字节大小的内存,返回的指针为v3,将v3的值(指针的值为地址)存入v4,实际上v3和v4都指向了刚才申请的那块内存。然后赋值,将前四个字节赋值为68,后四个字节赋值为85。后面通过printf打印了v4和v4+4的值,其实就是68和85的地址。 下面有个sub_400D72(v4)函数,将v4
攻防世界-pwn-String
weixin_44558065的博客
10-19 363
本人为萌新,以下只是个人看法。
攻防世界PWN [GFSJ0469] string (不太正经的wp)
最新发布
qq_52161487的博客
07-16 1021
拐角的光线很暗,暗得我看不清她的脸和表情,还有烦人的蚊子一直叮我的腿,但从来没有任何一个夏天的感觉能够如此真实。为了回家,勉为其难地,我答应了她。那个她曾和我说过,你们这些人整天对着电脑看书,一个劲儿地用一个女生头像的软件,这一横条一横条的是什么东西,一会goto一会mov的,就像是在走迷宫。前两天在我MP3上听的那首周董的歌你还记得嘛,远方传来风笛,我只在意有你的消息......”好吧,都已经走到现在了,回去未免沦为笑柄,也辜负了巫师小姐姐对我们的期望,我们要做的只能是硬着头皮走下去,来吧,
攻防世界pwn新手练习(string
BurYiA的博客
12-25 1734
string 首先我们看一下程序的保护机制 程序开了NX(堆栈不可执行)、CANARY(栈保护)和PELRO 程序太长了,我们就不运行了,在IDA中我们查一下有没有什么明显的地方 在这个函数里面 我们发现了一个格式化字符串漏洞,在他的上面有两个输入点,一个是“%ld”格式,一个是“%s”格式 我们在往下看,紧接着的函数里有这么一个东西 代码执行,条件是a1这个数组里面的第一个数字等于第二个数字 ...
攻防世界pwn——string
qq_62076255的博客
11-05 726
攻防世界pwn——string
攻防世界Fakezip杂项解题攻略
资源摘要信息:"攻防世界Fakezip杂项" 杂项类别在攻防世界的练习和比赛中通常指的是一些并不完全符合传统CTF(Capture The Flag)比赛中常见题型的题目,它们可能涉及各种不同领域的知识点,需要参赛者有广泛的技能...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值