“攻防世界”pwn之format2

最新推荐文章于 2023-05-11 08:51:51 发布
最新推荐文章于 2023-05-11 08:51:51 发布
阅读量495 收藏 1
点赞数 1
分类专栏: ctf-pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42728977/article/details/103498273
版权
本文介绍了在攻防世界挑战中如何利用栈溢出和后门来获取shell。分析了程序环境、工具使用,并详细解释了利用程序的base64解密和MD5加密特性,以及通过覆盖ebp和ret地址实现控制流程的方法。通过构造特定输入,最终成功触发后门函数并获取shell。
摘要由CSDN通过智能技术生成
原理:

栈溢出、后门

环境:

ubuntu14

工具:

pwntools 、IDA

步骤:

查看程序的基本信息:

在这里插入图片描述
可以看出程序是32位,斌开了canary和nx

在IDA进行分析查看
在这里插入图片描述
看到程序并没有canary的压栈,我当时很奇怪为什么,让你后又看了几个函数,发现也没有,后来看大佬的 WP说是部分函数有,这里的canary是个迷惑。这没有canary就方便很多了。
在这里插入图片描述
一点一点看,发现这就是一个base64解密再MD5加密的程序,如果最后的MD5值一样的则,但是程序里的对应MD5值没有查到对应的明文,而且MD5加密的也不是咱们输入的,而是一个脏数据,也就是“正道”走不通了。
仔细看auth()函数。

最低0.47元/天 解锁文章
qq_42728977
关注
专栏目录
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
攻防世界PWNformat2题解
seaaseesa的博客
11-10 743
format2(整数地址空间溢出) 本题需要细心 首先,检测一下程序保护机制 虽然说开启了CANARY,但是关键的几个函数没有开启这个机制,这道题因为libc库静态链接到文件里,所以才造成这种干扰。 我们用IDA分析一下 后门函数 溢出点在这,memcpy传入的是v4的地址,而v4是int,最多也就8字节,因此这里可以溢出 程序的流程是将我们输入的字符串进行BASE6...
攻防世界-PWN-Format2解题过程
aptx4869_li的博客
07-24 460
# 解题思路 ## 安全机制检查 ``` healer@kali:~/Desktop/format1$ readelf -h format1 ELF Header: Magic: 7f 45 4c 46 01 01 01 03 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, little endian ...
[攻防世界]noteservice2
m0_55906008的博客
01-15 315
一道基本的堆题
format2 攻防世界
qq_41071646的博客
07-15 694
这个题 确实很恶心 本来感觉应该是栈溢出 或者 直接验证 但是 md5 解不开 然后调试的时候逐渐发现问题 晕死,, 虽然长度那个变量是 无符号 但是 输入字符限定 30 我们也没有什么办法 来通过 这个来操作 然后进入check 函数 发现v4 可以 溢出修改ebp 并且这里有后门函数 ebp ebp ebp 栈转移 两个 leave ...
堆指针越界&堆上布置shellcode|攻防世界pwn进阶区 note-service2
Kni9hT's Blog
03-18 810
文章目录前言思路分析0x00.检查保护机制0x01.查看程序功能0x02.ida查看逻辑0x03.利用思路利用过程0x00.选一段shellcode布置在堆上0x01.计算jmp short指令要跳多少字节0x02.shellcode转换为asm格式0x03.通过64位传参机制把&("/bin/sh")传到rdi0x04.计算free的got地址和堆数组静态地址的距离0x05. 尝试写ex...
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
pwn07.ret2syscall例题
11-11
ret2syscall例题
入门pwn题目ret2text
03-26
入门pwn题目ret2text
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
CTF训练(PWN)——format_secret
weixin_49270591的博客
04-12 492
CTF训练(PWN)——format_secret 这次拿到的是一道pwn题,作为新手只能慢慢学习(啊啊啊啊,pwn是真的难~~) 读题 根据描述,知道是格式化字符串漏洞,于是去度娘了解一下格式化字符串漏洞是什么??? 这里附上来自同站大佬的链接:https://blog.csdn.net/qq_43394612/article/details/84900668 分析题目 首先下载附件 拿到一个意义不明的白色文件 解题 首先使用checksec进行查看 没有的话可以使用git进行安装 git clone
攻防世界PWN之note-service2题解
seaaseesa的博客
11-10 2864
note-service2 首先看一下程序的保护机制,注意,PIE是开启的,这个checksec检测PIE有时候不准确。不过,我们看到NX是关闭的,说明堆栈的数据可以被当做指令执行 然后,我们用IDA分析一下,发现是一个很简单程序,并且只有添加和删除功能,其他功能未实现 创建这里,有三处值得我们注意 创建的堆空间大小最多为8字节 保存堆指针的数组下标可以越界 既然数组下...
攻防世界(pwn)Noleak
PLpa的博客
03-03 1589
前言: 看了大佬们的writeup,发现这题解法真的非常多,我这里用的是unsortedbin的地址写漏洞,详情可以看ctfwiki了解漏洞原因。 没开NX,有可以执行的堆栈,但是开启了Full RELRO,不能修改got表地址了。 打开IDA: 发现是一个菜单题,可以创建,删除,更新堆快信息,没有输出信息的选项,果然Noleak。 我们这里可以一个一个功能去看,看看漏洞存在哪里: 经过观察...
pwn 练习笔记 format2
SsMing的博客
08-16 343
例子是protostar format2 源码为: 和昨天的思路一样,确定要通过格式化字符串洞覆盖target的内容,题目的目的是要让target等于64 1.找到target的地址 2.计算偏移量 先起手个200个 我们发现第四个就是我们的ABCD,所以改一下payload 然后要是target的值为64 ,在括号之前要有64个字符,这里前面已经有34个,还差30个...
pwn-格式化字符串的刷题记录(未完待续)
m0_75234353的博客
05-11 704
发现canary和RELRO部分开。
攻防世界-alexctf-2017 re2-cpp-is-awesome
qq_45771413的博客
04-22 237
查壳 无壳 IDA 挨个看过去只有红框有具体内容,橙色箭头输出失败或成功。那关键就在这个if判断里。 仔细分析这里,发现红框的 off_6020A0和dword_6020C0都是已知的字符串,(其中后者需要处理下间隔,而且是以16进制数字示人)。这种套娃字符串的形式可当作用 6020C0字符串作为下标对6020A0进行排序。 EXP arrA0=[36, 0, 0, 0, 0, 0, 0, 0, 5, 0, 0, 0, 54, 0, 0,
攻防世界进阶题note_service2: 堆区第一题!
weixin_48066554的博客
03-16 360
note_service: 堆区第一题! 拿到题目,按惯例checksec: 发现开了PIE和Canary,这意味着我们不能愉快地ret2text了,有点难受,但是没开NX,那不就ret 2 system call 一把梭哈了吗 丢到ida里看一下(为方便阅读,已将部分函数名、变量名进行了更改): 反汇编 1、程序主体 void choice() { while ( 1 ) { menu(); printf("your choice>> "); switch (
pwn 练习笔记 format4
SsMing的博客
09-18 383
protostar format4 日常练习,源码为 #include <stdlib.h> #include <unistd.h> #include <stdio.h> #include <string.h> int target; void hello() { printf("code execution redirected! y...
攻防世界-PWN进阶区-hacknote(pwnable.tw)
weixin_44145820的博客
03-04 654
攻防世界中这道题是pwnable.tw上面的原题,虽然在攻防世界上难度为7星,不过实际上这题不算难,只需要利用UAF就可以完成。 题目分析 题目链接:https://pan.baidu.com/s/1T-mIVLkxvyZ_7VvlBuInZQ 提取码:azyd checksec: 保护机制比前几题弱了很多 main: hacknote实现了三个功能: 1.添加(上限为5) 在新建no...
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值