攻防世界详解CGfsb,格式化字符串漏洞,欢迎讨论

最新推荐文章于 2023-06-30 16:44:26 发布
最新推荐文章于 2023-06-30 16:44:26 发布
阅读量262 收藏 1
点赞数 1
文章标签: 安全 网络安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XDiku/article/details/128642715
版权

2023-01-11 WP

0x00 T3 CGfsb

题目来源是攻防世界引导模式的第五题,CGfsb。

初探格式化字符串漏洞。

0x01 wp

第一步,checksec

在这里插入图片描述除了没开随机地址什么都开了,32位

第二步,反编译+静态分析

在这里插入图片描述

可以看到需要输入两次东西,并且会打印出来,其中的printf(&s)就是格式化字符串漏洞。
这个漏洞,在于printf(&s),前面的fgets让你自己输入东西进入s以后,你就可以控制printf()里面的内容,达到查看内存和修改内存的目的。
(%p是打印地址)
比如你输入aaaa-%p,那么printf(&s)就相当于,

printf("aaaa-%p")

可是正常来写我们都知道,我们是这么写的:

printf("aaaa-%p", a) //就是说,在“……”之后,会有一个参数。

那么没有参数怎么办?直接从栈里面找,其实还是隐性的有后面的参数,只不过直接从栈中索引了。

查看内存使用%s、%c、%p之类的,写入内存使用%n或者%i$n,其中 i 代表一个变量。

其中这个 i 代表着往下索引第几个参数,然后%i$n就代表着向第 i 个参数写入成功打印的个数(比方说打印了‘aaaa’,那么就会写入4)。

如前面所说,直接从栈中索引,这个%i$n也是直接从栈往下索引参数,这么说太抽象,我们看例子。
![在这里插入图片描述](https://img-blog.csdnimg.cn/654bf3c8f3a2498c9ee918efa11c6e5f.png可以看出他就是把下一个参数的内容作为地址打印出来了

进一步分析!

我们根据ida的伪代码分析到,需要把pwnme的内容修改为8,这样就能cat flag。那么我们要充分利用%i$n写入成功打印字数的功能,成功打印八个字数然后写入pwnme的地址。
在这里插入图片描述
这是pwnme的地址,因为没开随即地址,它不会被改变
在这里插入图片描述
我们通过输入“aaaa%p-%p……”这一串内容来确认我们第一次输入的前四个字节属于第几个参数。我们可以看到aaaa被转为ascii码被当作三十二位地址打印出来了,就是0x61616161。所以我们可以数一下,我们第一次输入的内容是在第十个参数。
也就是说,我们只需要输入四个字节,再输入pwnme的地址(占四个字节),总共八个字节,就会在pwnme写入8。我们可以开始写exp了。

第三步,写exp

在这里插入图片描述
aaaa是第十个参数,所以我们的地址是第十一个参数,所以写入%11$n
注意一开始还要输入一个东西,随便写一下就好。

最后,运行拿到flag

在这里插入图片描述

N1nEmAn
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界(pwn篇)---CGfsb
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-09 1591
攻防世界(pwn篇)—CGfsb 文章目录攻防世界(pwn篇)---CGfsb题目描述基本情况分析运行分析IDA 分析格式化字符串漏洞分析出payload找一下 s 的偏移量再看一看 pwnme 的地址exp 题目描述 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 基本情况分析 checksec命令可以查看可执行文件开启的保护 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.S
CTF PWN-攻防世界CGfsb格式化字符串漏洞
最新发布
道阻且长,行则将至。
07-23 1819
距离 2021 年年底短暂接触学习 CTF PWN 相关知识(CTF PWN-攻防世界XCTF新手区WriteUp)已经是快 2 年前的事了,这期间就连攻防世界社区的站点都发生巨大变化了……为了学习终端领域底层漏洞的挖掘和利用技术,继续积累 PWN 相关知识。
攻防世界-CGfsb
yuqie的博客
06-30 278
看看附件,先在本地环境打一下,先放入kali查看一下版本: 再查看一下保护机制: 可以看出该程序是32位的,保护机制的解释如下:【1】RELRO:RELRO会有Partial RELRO和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表。【2】Stack:如果栈中开启Canary found,那么就不能用直接用溢出的方法覆盖栈中返回地址,而且要通过改写指针与局部变量、leak canary、overwrite canary的方法来绕过。【3】NX:NX enabled
攻防世界新手pwn题:CGfsb格式化字符串漏洞)初解
qq_35066257的博客
09-25 811
攻防世界新手pwn题:CGfsb格式化字符串漏洞)初解 在开始看这题之前,可以看CTF-wiki中有关格式化字符串漏洞的利用[link]https://wiki.x10sec.org/pwn/fmtstr/fmtstr_exploit/ 这边就简单的介绍格式化字符串中覆盖内存的方式:%n$n,这串字符的意思是将前面打印的字符个数,写入到第n个指针对应的地址中,下面就以CGfsb这题来举个例子 ...
攻防世界greeting-150——进阶格式化字符串
weixin_48066554的博客
05-21 389
水题也能学东西阿,小孩子不懂事,做着玩的
攻防世界序列化问题详解.md
09-12
攻防世界,序列化问题
漏洞攻防:自动化与智能化.pdf
08-08
目录 • 漏洞攻防形势 • 自动化攻防 • 智能化攻防
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
漏洞攻防三部曲:机器辅助,自动化,智能化.pdf
08-07
机器辅助攻防 自动化攻防 智能化攻防
PWN做题笔记7-CGfsb(这篇不要看了,写的时候没理解,理论分析部分有错误,但不想改)
qq_40923256的博客
04-21 248
原题地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5050&page=1 本题属于格式化字符串漏洞,主要利用gdb调试 文件中只有一个main方法,如图位置存在格式化字符串漏洞 这里需要提及一下格式化字符串漏洞的原理: 核心在于printf(&test)会将test解释为格式化字符串,并且,格式化字符串存在%n可以写入元素存储的地址中前面字符串长(注意地址%n
攻防世界pwn-CGfsb
a_silly_coder的博客
05-18 273
首先检查文件保护 将文件拖入32位ida 阅读代码后,发现这是一个简单的格式化字符串漏洞,通过修改pwnme的数值为8,直接执行cat flag。pwnme在0x0804A068的位置。 随后用gdb确认偏移,有两种方法,一种是直接数栈上的位置,另一种是输入AAAA.%x.%x.%x查看。我采用第一种。 栈上是第11个位置,但是由于第一个位置参数是格式化字符串,所以输入的AAAA其实是格式化字符串的第10个参数。 开始编写攻击脚本。 from pwn import ...
CGfsb(xctf)
weixin_43868725的博客
05-06 652
0x0 程序保护和流程 保护: 流程: main() 可以明显的发现存在一个格式化字符串漏洞,然后当pwnme这个变量等于8时调用’cat flag’这个命令。又因为程序没有开启pie并且pwnme是全局变量,所以可以通过格式化字符串漏洞将pwnme这个变量改为8从而得到flag。 0x1 利用过程 首先先确定偏移量 可以发现偏移量是10,然后查看pwnme变量的地址 将pwnme的值改为...
攻防世界格式化字符串漏洞greeting150
Rt1Text的博客
04-10 420
1.checksec+运行 32位/NX堆栈不可执行/Canary保护 注意一点:没有RELRO保护,got表完全可写 2.IDA常规操作 1.main函数 2.getnline函数 看到以上信息可以 泄露任意地址的内存 但是........上面的看着感觉不是很多对 原来是这样 出现了aaaa---->0x61616161,参数在格式化字符串第12个位置 aaaaaa%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,...
XCTF-攻防世界 CGfsb 格式化字符串漏洞
river
07-02 4113
攻防世界-CGfsb-格式化字符串漏洞 参考自 http://geekfz.cn/index.php/2019/06/12/pwn-format/ 程序拿下来丢到IDA F5 int __cdecl main(int argc, const char **argv, const char **envp) { int buf; // [esp+1Eh] [ebp-7Eh] int v5; ...
攻防世界 Pwn CGfsb
MrTreebook的博客
11-28 179
攻防世界pwn CGfsb1.先看保护机制2.看一下源代码有什么漏洞3.看一下格式化字符串溢出长度4.看一下pwnme的地址5.exp 1.先看保护机制 2.看一下源代码有什么漏洞 这里很明显是格式化字符串 看到这里发现程序需要pwnme==8才可以拿到flag 3.看一下格式化字符串溢出长度 输入数据后gdb调试数一下 offset=10 4.看一下pwnme的地址 那思路就是利用格式化字符串的%n写个8到pwnme中就好了 5.exp from pwn import * #a=process(
攻防世界pwn新手村WP
Sakura给爷pwn全场
12-07 183
攻防世界 一、level0 思路1 from pwn import * context.log_level='debug' r=remote('220.249.52.133',30689) system_addr=0x400596 payload='A'*0x80+'B'*0x8+p64(0x400431)+p64(system_addr) r.recvuntil('\n') r.sendline(payload) r.interactive() 思路2 from pwn import * context
攻防世界新手区pwn writeup
极客剑寮
09-08 930
CGfsb 题目地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5050 下载文件后,使用file命令查看。 32位的文件,用ida打开,F5查看伪代码。 printf漏洞:https://www.cnblogs.com/cfans1993/articles...
Android安全攻防指南_漏洞利用缓解技术_编程案例解析实例详解课程教程.pdf
05-05
漏洞研究社区中,攻防双方的研究者之间始终在进行军备竞赛,不断努力设计和实现新的漏洞利用缓解技术。成功的攻击方法一旦被发现或公开,防守方就会积极工作,防止类似攻击再次出现,并着手设计新的保护机制。攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值