“攻防世界”pwn之format2

最新推荐文章于 2023-05-11 08:51:51 发布
最新推荐文章于 2023-05-11 08:51:51 发布
阅读量479 收藏 1
点赞数 1
分类专栏: ctf-pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42728977/article/details/103498273
版权
本文介绍了在攻防世界挑战中如何利用栈溢出和后门来获取shell。分析了程序环境、工具使用,并详细解释了利用程序的base64解密和MD5加密特性,以及通过覆盖ebp和ret地址实现控制流程的方法。通过构造特定输入,最终成功触发后门函数并获取shell。
摘要由CSDN通过智能技术生成
原理:

栈溢出、后门

环境:

ubuntu14

工具:

pwntools 、IDA

步骤:

查看程序的基本信息:

在这里插入图片描述
可以看出程序是32位,斌开了canary和nx

在IDA进行分析查看
在这里插入图片描述
看到程序并没有canary的压栈,我当时很奇怪为什么,让你后又看了几个函数,发现也没有,后来看大佬的 WP说是部分函数有,这里的canary是个迷惑。这没有canary就方便很多了。
在这里插入图片描述
一点一点看,发现这就是一个base64解密再MD5加密的程序,如果最后的MD5值一样的则,但是程序里的对应MD5值没有查到对应的明文,而且MD5加密的也不是咱们输入的,而是一个脏数据,也就是“正道”走不通了。
仔细看auth()函数。

最低0.47元/天 解锁文章
qq_42728977
关注
专栏目录
攻防世界(pwn篇)---CGfsb
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-09 1776
攻防世界(pwn篇)—CGfsb 文章目录攻防世界(pwn篇)---CGfsb题目描述基本情况分析运行分析IDA 分析格式化字符串漏洞分析出payload找一下 s 的偏移量再看一看 pwnme 的地址exp 题目描述 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 基本情况分析 checksec命令可以查看可执行文件开启的保护 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.S
format2(xctf)
weixin_43868725的博客
09-02 713
0x0 程序保护和流程 保护: 流程: main() 接收一个最长为30的字符串,通过base64解密后长度小于12就会将解密后的字符串复制到input处,之后调用auth()。 在将input中的字符串复制到v4的时候存在四个字节的溢出。如果返回值为1的话就会进入correct()。 此时如果input==0xDEADBEEF的话就能够getshell了。 0x1 利用过程 1.虽然checksec提示说程序开启了canary但是在主要逻辑上的函数都没有开启canary,所以可以进行溢出。 2.因
format2 攻防世界
qq_41071646的博客
07-15 687
这个题 确实很恶心 本来感觉应该是栈溢出 或者 直接验证 但是 md5 解不开 然后调试的时候逐渐发现问题 晕死,, 虽然长度那个变量是 无符号 但是 输入字符限定 30 我们也没有什么办法 来通过 这个来操作 然后进入check 函数 发现v4 可以 溢出修改ebp 并且这里有后门函数 ebp ebp ebp 栈转移 两个 leave ...
攻防世界PWNformat2题解
seaaseesa的博客
11-10 715
format2(整数地址空间溢出) 本题需要细心 首先,检测一下程序保护机制 虽然说开启了CANARY,但是关键的几个函数没有开启这个机制,这道题因为libc库静态链接到文件里,所以才造成这种干扰。 我们用IDA分析一下 后门函数 溢出点在这,memcpy传入的是v4的地址,而v4是int,最多也就8字节,因此这里可以溢出 程序的流程是将我们输入的字符串进行BASE6...
攻防世界-PWN-Format2解题过程
aptx4869_li的博客
07-24 439
# 解题思路 ## 安全机制检查 ``` healer@kali:~/Desktop/format1$ readelf -h format1 ELF Header: Magic: 7f 45 4c 46 01 01 01 03 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, little endian ...
pwn 练习笔记 format2
SsMing的博客
08-16 321
例子是protostar format2 源码为: 和昨天的思路一样,确定要通过格式化字符串洞覆盖target的内容,题目的目的是要让target等于64 1.找到target的地址 2.计算偏移量 先起手个200个 我们发现第四个就是我们的ABCD,所以改一下payload 然后要是target的值为64 ,在括号之前要有64个字符,这里前面已经有34个,还差30个...
攻防世界 pwn babyheap writeup
liucc09的博客
01-19 531
分析 这题题目中显示是Wellcome To the 2.27 Heap World,而且只能申请7个chunk,理论上应该是一道libc2.27 tcache的题,但因为在交互过程中触发了fastbin的double free错误,所以攻防世界上应该是把这题部署在了libc2.23的环境中,但无所谓,下面libc2.27和libc2.23的解法都会给出。 libc2.27解法 首先我们要泄漏libc的地址,tcache肯定是无法泄漏libc的,因此我们考虑使用unsorted bin来泄漏,这题有off
攻防世界pwn新手区整理
Lenard404的博客
08-19 3190
小白尝试做pwn题QAQ get shell 惯例: IDA查看main函数: 显然直接连接就可以得到权限。 nc ls cat 一条龙服务: 菜鸟教程的Linux命令大全 hello pwn 惯例: IDA查看main: 查看if语句后的函数: 目的明确:进入if语句。 计算60106C和601068的偏移为4,read可以读入0x10,直接输入条件即可。 exp: from pwn import* r = remote('111.200.241.244',64067) payload = '
攻防世界pwn-string】
a_silly_coder的博客
05-18 333
首先检查保护 将文件拖入64位ida 查看代码逻辑,发现这个代码有些复杂,但是大多数都是无效信息,很多输入都是指引程序进行的,扰乱我们的视线。 关键信息有:v3v4的数值地址都给出来了,然后查看sub_400D72函数 这里首先输入一个name,这是干扰输入,只要不超过0xC的长度即可。然后sub_400A7D也是干扰输入,只需要跟着代码输入就可以了。接着查看sub_400BB9与sub_400CA6 sub_400BB9这里很显然是有一个格式化字符串漏洞。 接着看s...
某道Pwn(格式化字符串漏洞)
热门推荐
龙哥盟
03-18 4万+
格式化字符串漏洞近几年出现频率少了,但是一些 CTF 中还有涉及,就当玩玩好了。首先看这一段代码,什么比赛的题我忘了:#include <stdio.h> int main(void) { int flag = 0; int *p = &flag; char a[100]; scanf("%s",a); printf(a); if(flag ==
2018 百越杯 pwn(format WriteUp)
X丶 的博客
12-03 790
看到题目的内容,就知道大概是格式化漏洞了, 马上扔到IDA看个究竟。 不出所料,就是printf的格式化输出漏洞   思路: 1、利用格式化漏洞覆盖任意地址的值,这里我们需要覆盖secret的值,所以先要找到secret的地址,在IDA中,可以看到secret在bss段: 得到secret的地址后,我们就可以对它的值进行覆盖,覆盖成192 2、利用%k$n(k$用于获取格式化...
pwn-Format String之hijack GOT
admin的博客
10-07 363
题目来源:ctf-wiki的hijack GOT。 例子 - CTF Wiki (ctf-wiki.org) CTF上的wp有点简洁,复现的时候遇到很多小问题,在这里记录一下。 ①、checksec和IDA 程序的主干代码:没必要一次性看完,下面我们一点一点分析 //main int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { signed int v3; // eax cha..
CTF训练(PWN)——format_secret
weixin_49270591的博客
04-12 472
CTF训练(PWN)——format_secret 这次拿到的是一道pwn题,作为新手只能慢慢学习(啊啊啊啊,pwn是真的难~~) 读题 根据描述,知道是格式化字符串漏洞,于是去度娘了解一下格式化字符串漏洞是什么??? 这里附上来自同站大佬的链接:https://blog.csdn.net/qq_43394612/article/details/84900668 分析题目 首先下载附件 拿到一个意义不明的白色文件 解题 首先使用checksec进行查看 没有的话可以使用git进行安装 git clone
pwn 练习笔记 format4
SsMing的博客
09-18 368
protostar format4 日常练习,源码为 #include &lt;stdlib.h&gt; #include &lt;unistd.h&gt; #include &lt;stdio.h&gt; #include &lt;string.h&gt; int target; void hello() { printf("code execution redirected! y...
pwn-格式化字符串的刷题记录(未完待续)
m0_75234353的博客
05-11 669
发现canary和RELRO部分开。
pwn学习-格式化字符串的利用
WocW的博客
03-08 2021
覆盖栈内存 所用例子 /* example/overflow/overflow.c */ #include &lt;stdio.h&gt; int a = 123, b = 456; int main() { int c = 789; char s[100]; printf("%p\n", &amp;c); scanf("%s", s); printf(s); if...
攻防世界(pwn)Noleak
PLpa的博客
03-03 1578
前言: 看了大佬们的writeup,发现这题解法真的非常多,我这里用的是unsortedbin的地址写漏洞,详情可以看ctfwiki了解漏洞原因。 没开NX,有可以执行的堆栈,但是开启了Full RELRO,不能修改got表地址了。 打开IDA: 发现是一个菜单题,可以创建,删除,更新堆快信息,没有输出信息的选项,果然Noleak。 我们这里可以一个一个功能去看,看看漏洞存在哪里: 经过观察...
xctf format2
doudoudedi
10-01 315
日常水题的一天这个和pwnable.kr 上的一道题很像也是一道栈迁移的题目 我们直接看main函数 把输入的base64解密长度不能超过12 目的是correct函数 发现这里可以覆盖ebp我们就可以将栈迁移到input处然后mov esp,ebp ; pop ebp; pop eip;main函数公用ebp控制eip为我们的后门地址直接拿到shell(打pwn不要限制于拿到shell哦...
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于repeater题目,根据引用中提供的代码,该题目涉及到了远程攻击和内存溢出的技术。代码中使用了pwn工具包来进行远程连接和漏洞利用。通过发送一段恶意输入,攻击者可以覆盖程序的返回地址,使得程序执行恶意的shellcode。 具体地说,代码中通过发送一系列的输入,包括恶意shellcode,使得程序发生内存溢出,覆盖了主函数的返回地址,从而让主函数正常退出,并跳转到shellcode的首条指令处。 在此过程中,使用了pwn工具包中的一些功能,如远程连接、编码shellcode等。代码中也展示了一些具体的操作步骤,如发送输入、计算地址等。 综上所述,攻防世界中的pwn和repeater题目分别涉及到了漏洞利用和内存溢出的技术。通过精心构造的输入,攻击者可以利用程序的漏洞来执行恶意代码。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值